|
امنیت برنامههای کاربردی تحت وب - حمله به تصدیق اصالت
(1389/11/10)
|
|
|
مكانيزمهای تصديق اصالت، اصليترين خطوط دفاعي برنامه در برابر دسترسيهاي غيرمجاز هستند. اين مكانيزمها در مقايسه با سایر مكانيزمهاي امنيتي، بيشتر در معرض حمله قرار دارند و ممكن است كابران غيرمجاز و ناشناس به آن دسترسي پيدا كنند. اگر مکانیزم تصديق اصالت دور زده شود ميتوان به دادهها و مکانیزمهاي حساس دسترسي داشت. مكانيزمهاي تصديق اصالت شامل ضعفهاي طراحي و پيادهسازي بيشماري ميباشند كه برخي از آنها از قبيل كلمات عبور نامناسب، آسيبپذيري نسبت به حملات Brute-force و غیره بسيار آشكار هستند و برخي بسيار پيچيده و ناشي از ضعف در منطق ميباشند كه كشف آن دشوار است. مهمترين نكتهی امنيتي در مكانيزمهاي دفاعي تصديق اصالت اين است كه همهی مکانیزمها را بررسي كنيم. علاوه بر فرم اصلي ورودي، توابعي براي ثبت حسابهاي كاربري جديد، تغيير كلمهی عبور، يادآوري نام كاربري، بازيابي كلمهی عبور فراموش شده و غیره در برنامه ميباشد كه هر يك ممكن است شامل مشكلاتي باشد. در اين مقاله، ضعفها و آسيبپذيريهايي كه در هر يك از اين مکانیزمها ممكن است وجود داشته باشد بررسي و راه حل دفاعي مناسب ارائه ميشود.
|
|
|
 مشاهده ضميمه
ارسال کننده :حسناء خدابخشی - مركز آپاي دانشگاه فردوسي مشهد
کلمات کليدي :
برنامهی كابردي تحت وب, تصديق اصالت, Brute,force
|