با گذشت بیش از ده سال از حمله به پورت های باز و سرویس های رخنه پذیر توسط مهاجمین، امروزه مدیران سیستم با نصب دیواره های آتش و انجام برخی موارد امنیتی، تنها امکان مشاهده برخی سرویس های ضروری را فراهم می کنند که بسیاری از این سرویس ها هم پچ شده و غیرقابل نفوذ هستند. بنابراین امروزه مهاجمین سیستم های رایانه ای، استراتژی خود را از تهاجم به سیستم عامل به سوی تهاجم علیه برنامه های در حال اجرا روی سیستم عامل ها تغییر داده اند. آنچه مسلم است انگیزه اصلی این افراد در سرقت اطلاعات، سرویس ها و به طور کلی هر آنچه منفعتی برای ایشان ایجاد کند تمرکز یافته است. بی گمان برنامه نویس با آگاهی از تهدیدهای موجود می تواند اقدام به ایمن سازی برنامه خود در برابر حملات مخرب کند. در این مقاله کوشش شده است تا برخی روش های رایج نفوذ و تخریب برنامه های تحت وب معرفی شود. سه کوئل اینجکشن در این تکنیک، مهاجم با تزریق دستورات sql مورد نظر خود در کنار دستورات اصلی برنامه،اقدام به تخریب لایه دیتای برنامه می کند. در صورتی که این عمل با موفقیت انجام شود، مهاجم قادر به بازیابی، تغییر و یا حذف اطلاعات ذخیره شده در بانک اطلاعاتی خواهد بود. با ارایه چند مثال به بررسی عملی این تکنیک می پردازیم: صفحه وبی را در نظر بگیرید که برای انجام عملیاتی خاص، اقدام به دریافت شماره شناسایی از کاربر می کند. در صورتی که کاربر اقدام به تایپ شماره "1234" در فیلد مورد نظر کند، دستور زیر به بانک اطلاعاتی ارسال خواهد شد: select a,b from testtable where id = 1234 در نتیجه دستور فوق، فیلدهای aو b که شماره شناسایی آنها "1234" است، از جدول testtable انتخاب خواهند شد. حال در صورتی که مهاجم اقدام به تایپ عبارت "1234 or 1=1" در فیلد فوق کند، دستور sql به شکل زیر ارسال خواهد شد: select a,b from testtable where id = 1234 or 1=1 از آنجا که "1=1" موجود در قسمت شرطی دستور select فوق همواره برقرار است، این عبارت منجر به خنثی شدن قسمت شرطی دستور شده و معادل با دستور زیر خواهد بود: select a,b from testtable همان طور که مشخص است، در نتیجه این دستور تمام رکوردهای موجود در جدول انتخاب خواهد شد. بنابراین مهاجم در این بخش با آگاهی وسیع از دستورات، با قرار دادن دستور مورد نظر خود در کنار دستور اصلی برنامه، به جای انتخاب رکورد مرتبط با شماره شناسایی خود، اقدام به مشاهده تمام رکوردهای جدول کرده است. این آسیب پذیری می تواند بسیار مخرب تر از مورد بالا باشد. برای مثال فرض کنید اطلاعات مربوط به کاربران در جدولی بنام users ذخیره شده باشد: حال در صورتی که مهاجم عبارت "1234; drop table users" را در فیلد شماره شناسایی وارد سازد، دستور sql زیر اجرا خواهد شد: select a,b from testtable where id = 1234; drop table users;دستور فوق متشکل از دو دستور sql است که دستور اول برای انتخاب فیلدهای aو b از جدول testtabe است، اما دستور دوم صرف نظر از دستور اول، منجر به حذف جدول users خواهد شد. بی شک در پی این حمله، ورود کاربران به سیستم مختل خواهد شد. حال به بررسی روش های معمول در مقابله با سه کوئل اینجکشن می پردازیم: * اعتبارسنجی مقادیر با تعیین نوع و تعداد کاراکترهای مجاز، انتخاب نوع داده ای مناسب و تعیین دامنه معتبر برای فیلدها. در صورتی که فیلد مورد نظر در برگیرنده مقادیر عددی است، از پذیرش حروف و نشانه اجتناب کنیم. نسبت به کاراکترها، نشانه ها و واژگان وارد شده توسط کاربر، به ویژه در موارد کلمات و نشان های مورد استفاده در دستورات sql، حساسیت نشان دهیم. انتخاب نوع داده ای مناسب در ساختار تشکیل دستور sql : "select a,b from testtable where id = " + testvariable + ";"در اینجا مقدار متغیر testvariable به عنوان مقدار id در نظر گرفته می شود. حال اگر مقدار id از نوع عددی باشد، انتخاب نوع داده رشته ای برای متغیر testvariable منجر به افزایش آسیب پذیری برنامه خواهد شد، چراکه در این صورت کاربر مجاز به وارد کردن هر ترکیبی از کاراکترها علاوه بر اعداد است. * استفاده از حساب کاربری مشخص با سطح دسترسی محدود در اجرای دستورات بانک اطلاعاتی. * استفاده از پارامترها و رویه های ذخیره شده در بانک اطلاعاتی. در این صورت پارامترها از نظر نوع ارسال شده و طول مجاز بررسی می شوند، همچنین مقادیر ارسالی از نوع دستورات اجرایی در نظر گرفته نمی شوند. * و سرانجام، پرهیز از نمایش صریح خطاهای موجود در اجرای دستورات به کاربر. منابع: msdn.microsoft.com و wikipedia
محمد غفاری
چرا باید به خوانندگان وبلاگ درباره رایگان بودن فید توضیح داد
... اما یک جمله هست که گاها و بیشتر در وبلاگ های زرد دیده میشه (زرد واقعی و بعضا تازه کار) “با عضویت در خوراک ما مطالب را رایگان دریافت کنید!” چون دوست عزیزم محمد از وبلاگ یک فتحی به عنوان یکی از کسانی که از این کلمه رایگان استفاده می کنند نام بردند بگذارید کمی بحث را بکشم بین خوانندگان اینجا! من با حدود نسبی دانش شما آشنایی دارم ... هر چند فکر کنم مدتی است کمتر حالی از من می پرسد :) و به دوست تازه ام، محمد غفاری که علاوه بر اینکه علاوه بر اینکه خیلی خوب قضیه را توضیح داد ( کلا خوب می نویسد در وبلاگش هم ) در اینجا خیلی هم به من محبت داشت ...
وزارتخانه ای برای ارتباطات از نوع جاده ای و مجازی
... ضربه به ict در اثر این ادغام موردی است که از سوی دیگر کارشناسان فن آوری اطلاعات نیز مورد تاکید قرار می گیرد: محمد غفاری یکی از این کارشناسان است: در طرز تفکر ملموس در جهان سوم کارهای فیزیکی که به چشم دیده می شود در اولویت قرارمی گیرد ...
موافقان و مخالفان طرح ادغام وزارت خانه های راه و ارتباطات
... محمد غفاری در گفت وگو با ایسنا، اظهار کرد: این ادغام هیچ سنخیتی ندارد زیرا جنس ارتباطات با کابل های نوری و ماهواره با جنس ارتباط توسط جاده و پل متفاوت و ناموزون است ... غفاری خاطرنشان کرد: در کشور ما شاید ده ها سازمان، مرکز و موسسه فرهنگی به موازات هم در داخل و خارج از کشور کار می کنند و آن ها را زیر نظر یک وزارتخانه نمی برند اما از طرفی قصد ادغام دو وزارتخانه با کار ارتباطات از دو جنس کاملا متضاد را مطرح می کنند ...
itقربانی اپیدمی ادغام وزارت خانه ها
... محمد غفاری کارشناس فناوری اطلاعات نیز نتیجه منفی ادغام این 2وزارت خانه را متوجه وزارت ict می داند و می گوید: به طور کلی زیرساخت های جاده ای که به جابه جایی فیزیکی می انجامد با زیرساخت ارتباط مخاطبان به صورت مجازی و از طریق غیرحضوری تفاوت دارد و در یک فاز علمی نمی گنجد بنابراین اگر قصد کوچک کردن دولت است، می توان با روش های دیگری مانند تبدیل وزارت خانه ها به موسسه ها یا شرکت های کوچک تر و یا واگذاری امور به بخش خصوصی این هدف را دنبال کرد ...
نتیجه ادغام این دو وزارتخانه جز ضربه به ict نیست
... محمد غفاری اظهار کرد: این ادغام هیچ سنخیتی ندارد زیرا جنس ارتباطات با کابل های نوری و ماهواره با جنس ارتباط توسط جاده و پل متفاوت و ناموزون است ... غفاری خاطرنشان کرد: در کشور ما شاید ده ها سازمان، مرکز و موسسه فرهنگی به موازات هم در داخل و خارج از کشور کار می کنند و آن ها را زیر نظر یک وزارتخانه نمی برند اما از طرفی قصد ادغام دو وزارتخانه با کار ارتباطات از دو جنس کاملا متضاد را مطرح می کنند ...
*ارائه خدمات کم هزینه به مردم با it* بررسی تاثیر فن آوری اطلاعات در اصلاح الگوی مصرف
... لزوم نظرخواهی از کارشناسان همچنین محمد غفاری - مشاور it - در گفت وگو ایسنا، تاکید کرد: باید با نظرخواهی از کارشناسان it درباره این که چطور می توان از پیچ و خم های زندگی مردم با فن آوری اطلاعات گذشت و آن ها را در مسیری آسوده قرار داد، به راه حل های صحیح رسید ...
حضور it چه قدر در زندگی ایرانی ها احساس می شود؟
... ict فرصت یا تهدید؟ چنانچه ict را به عنوان یک پایگاه اساسی و سکوی پرتاب در دنیا معرفی محسوب کنیم باید دید آیا کشور ما در این زمینه ساختار منسجمی برای تعریف این نگرش و تعیین استراتژی کار برای رسیدن به اهداف و ابلاغ آن به بخش خصوصی یا دولتی داشته است و آیا با ادامه دادن این روش به نتیجه مطلوبی خواهیم رسید؟ محمد غفاری - کارشناس - در این باره معتقد است تاکید کرد: صنعت ict از اهمیت ویژه یی برخوردار است و اگر دولت زودتر در این زمینه اقدام نکند ممکن است این فرصت که می تواند بسیاری از مشکلات را حل کند و به موفقیت برساند، به یک تهدید علیه کشور تبدیل شود ...
نقش it در اصلاح الگوی مصرف بسیار موثر است
... محمد غفاری معتقد است: با توجه به نام گذاری امسال به نام اصلاح الگوی مصرف، در این که کشور ایران با مساحت زیاد و جمعیت بالا، انجام این مهم به شرطی اجرایی می شود که در اساس پذیرفته شود نه اینکه به صورت تشریفاتی دیده شده و اجرای آن در حد شعار باشد ... محمد غفاری اظهار کرد: نقش it در اصلاح الگوی مصرف بسیار موثر است، در بررسی هایی که در یکی از ایالت های هند انجام دادیم، متوجه شدیم انجام ساده ترین امور در این ایالت به صورت it محور و با هزینه کم صورت می گیرد ... غفاری اظهار کرد: اجرای اینچنین طرحی در شهرهای شلوغ باعث کاهش تردد در نتیجه کاستن از هدر رفتن وقت و سوخت و تصادفات ناشی از سفرهای غیرضروری می شود ...
|
صفحه 1
|
2 | 3 |
|
