Your SlideShare is downloading. ×
Authentication
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Authentication

886

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
886
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. احراز هویت و مکانیزم های آن
    فهیمه پارسایی
    دانشجوی رشته تجارت الکترونیک
    بهمن 89
  • 2. سازوکارهای امنيتي(SecurityMechanism)
    تائيدهويت
    authentication
    اجازه
    authorization
    مميزي
    auditing
  • 3. احرازهویت
    • روش یا مکانیزمی است که بر اساس آن هر موجودیت (مثل یک پروسه یا شخص) بررسی می کند که آیا شریک او در یک ارتباط (یعنی موجودیت طرف مقابل)، همانی است که ادعا می کند یا یک اخلال گر ثالث است که خود را بجای طرف واقعی جا زده است.
    جعل و ارسال داده‏های ساختگی
  • 4. احرازهویت
    چیزی که کاربر بداند
    رمز عبور متنی، رمز عبور تصویری
    چیزی که کاربر مالک آن است
    توکن‏های امنیتی، کارت‏های هوشمند
    چیزی که کاربر از نظر بیولوژیک دارد
    اثر انگشت، الگوی شبکه چشم، تشخیص چهره، تشخیص صدا
  • 5. کلمه عبور
    رایج‏ترین نوع احراز هویت است.
    مزیت
    پیاده سازی بسیار ساده
    معایب
    می توان آن را حدس زد.
    به آسانی به دیگری داده می شود.
    یادآوری آن، به ویژه اگر مرتبا استفاده نشود، همیشه آسان نیست.
    آموزش کاربران
  • 6. توکن
    توکن دارای حافظه‏ای برای انجام عملیات رمز‏نگاری و نگهداری گواهی‏های الکترونیکی هستند و با استفاده از ریز تراشه موجود در آن ها و بکارگیری الگوریتم های پیچیده، عملیات رمز نگاری انجام می شود
    تنها شخصی که دارنده توکن می باشد، می تواند با وارد کردن کلمه عبور توکن به اطلاعات محرمانه دسترسی پیدا کند.
  • 7. بیومتریک
    استفاده از خصوصیات فیزیکی اشخاص
    مزیت
    غیر قابل دسترسی، گم شدن، فراموشی
    عیب
    هزینه‏، نصب، نگهداری
  • 8. احراز هویت بر اساس رویکرد چالش و پاسخ
    چالش و پاسخ (challenge and Response): یکی از طرفین ، یک عدد یا رشته ای تصادفی تولید وآن را برای طرف مقابل خود می فرستد. طرف مقابل باید تبدیل خاصی را روی آن اعمال کند و نتیجه را برگرداند. به عدد یا رشته ی تصادفی «رشته چالش nonce »گفته می شود.
    nonce
    در محدوده ای بزرگ (حداقل 128 بیت) باشد
    باید کاملا تصادفی باشد
  • 9. آلیس و باب قبلا در خصوص یک کلید سری و متقارن طبق روشی مطمئن به توافق رسیده اند.این کلید متقارن نامیده می شود. از آنجا که تحت هیچ شرایطی کلید رمز نباید بر روی شبکه منتقل شود لذا آنها برای احراز هویت یکدیگر به رویکرد چالش و پاسخ متوسل می شوند.
    A معرف آليس B معرف باب
    R معرف رشته چالش K معرف كليد
  • 10. آلیس
    باب
    A
    B
    1
    A
    2
    3
    4
    5
    زمان
    زمان
    آغاز نشست
  • 11. نقد و بررسی
    یکی از مشکلات این روش حمله بازتاب است.
    T
    B
    باب
    اخلال گر
    1
    2
    3
    4
    5
    زمان
    زمان
    آغاز نشست
  • 12. A
    B
    راهکار
    ترکیب روش های فوق امنیت را در برابر حمله بازتاب بالا می برد.
    طراحی سیستم به گونه ای باشد که به محض مشاهده اطلاعات یک نشست در
    نشست موازی دیگر، سیستم هر دو نشست را قطع کند
    طرفین به گونه ای رشته های چالش خود را از مجموعه های متفاوت انتخاب کنند که اممکان جعل هویت نباشد
  • 13. MAC
    يکي از اينHash Function ها MAC است. کاري که MAC ميکند اينست که يک کليد را که secret key است بهمراه يک پيام بعنوان ورودي قبول ميکند و يک خروجي ميدهد بنام Message Authentication Code کد شناسايي هويتي که به آن پيام تعلق دارد و کاربرد اصلي اين تابع اينست که زمانيکه پيامي را براي فردي ارسال ميکنيم آن فرد بتواند از هويت اصلي فرد فرستنده اطمينان حاصل کند و مطمئن شود که فردي پيام را برايش ارسال کرده که آن انتظارش را داشته و ارسال کننده اصلي پيام است.
  • 14. HMAC
  • 15. A
    B
    C
    HMAC
    پیاده سازی این روش در سطح سخت افزار هزینه کم و سرعت بالایی دارد
    برای دو موجودیت که از طریق یک لینک مستقیم به یکدیگر متصلند ، بسیار مفید است.
    باید فرض شود که قبلا فرایند شناسایی مقدماتی و مبادله ی شناسه های کاربری صورت گرفته و این مکانیزم صرفا برای اثبات درستی ادعای طرفین است.
    این الگوریتم با یک روش رمزنگاری متقارن مثل AES یا serpent قابل جایگزین است.
    D
  • 16. احراز هویت متکی بر مرکز توزیع کلید
    • فرض کنید خدماتی که یک بانک یا موسسه اعتباری ارائه می کند به شکلی باشد که کاربر حداقل یکبار در یکی از شعب حاضر شود . حساب باز کند و کلید خود را دریافت نماید.
    • 17. KDC(key distributed center) به دلیل حجم زیاد کلید کاربران، این مرکز برای ذخیره و مدیریت کلیدها ایجاد می شود.
  • آلیس
    باب
    KDC
    A
    B
    1
    3
    آغاز نشست
    زمان
    زمان
  • 18. نقد وبررسی
    یکی از خطرات بسیار مهم «حمله تکرار» است. زیرا اخلالگر ثالث می تواند پیام های بین طرفین بدون هیچ فهمی از محتوا استراق سمع کند.
  • 19. A
    B
    راهکار
    • ترکیب روش های فوق بهترین راه است.
    • 20. رشته های دارای اعتبار زمانی فقط در بافر نگهداری می شوند.
    به کارگیری «مهر زمان» به منظور تشخیص تازگی پیام
    در هر پیام رشته تصادفی nonce باشد و گیرنده با مراجعه به فایل نگهداری سابقه پیام ها، تکراری بودن را بررسی کند.
  • 21. مکانیزم احراز هویت نیدهام-شرودر
    • این پروتکل در سال 1978 توسط راجرز نیدهام و مایکل شرودر معرفی شد .
    • 22. مبتنی بر مفهوم «چالش و پاسخ» است و نیاز به مرکز تولید کلید دارد.
  • آلیس
    باب
    KDC
    A
    B
    1
    2
    3
    4
    5
    آغاز نشست
    زمان
    زمان
  • 23. نقد و بررسی
    اگر اخلالگر بلیط وکلید نشست را استراق سمع کند. میتواند از مرحله سوم حمله تکرار را آغاز کند.
    کلید نشست
    معمولا یک بار مصرف و هر بار تغییر می کنند و عموما افراد و نرم افزار ها در نگهداری آن دقت نمی کنند.
  • 24. KERBEROS
    • پروتکل احراز هویت Kerberos بخشی از پروژه «آتن» در دانشگاه MIT بود که در اصل بر اساس گونه ای از پروتکل «نیدهام- شرودر» بنا نهاده شده است. Kerberos متعلق به اواسط دهه هشتاد است ولی کاربردهای جدی آن در هزاره ی جدید در سیستم های عاملی مثل Windows 2000، Linuxو Solaris صورت واقعیت بخود گرفت.
  • نامKerberos برگزیده از اساطیر یونان باستان است که اشاره به سگی شرزه با سه سر به شکل افعی و یالی شبیه شیر داردو از در دوزخ نگهبانی می کند تا دوزخیان نتوانند از آنجا خارج شوند. وجه مشترک این اسطوره کهن با این پروتکل، آرایشی با سه مؤلفه AS، TGSو Server است که هر کاربر به ترتیب باید از آنها مجوز بگیرد تا قادر به دریافت سرویسی خاص باشد. درافسانه ها هرکول در خوان یازدهم از دوازده خان، کربروس را کشت و سرهای او را نزد اورستیوس برد! کربروس دنیای امنیت را چه کسی سر می برد و آن هرکول کیست؟
  • 25. ويژگيهاي عمومي کربروس
    • عمومي بودن(Common)
    در محیط توزیع شده همراه با سرورهای متمرکز و غيرمتمركز
    • امنيت (Security)
    ادعای اصلی
    • اطمينان (Reliability)
    اطمينان از فعال بودن همه سرویس ها برای کاربران مجاز.
    • شفافيت (Transparency)
    کاربران بايد سيستم را همانند يک سيستم ساده «شناسه و کلمه عبور»ببينند.
    • مقياس پذيري(Scalability)
    قابليت كار با تعداد زيادي ماشين كاربر و كارگزار
  • 26. قلمرو کربروس
    • قلمرو کربروس از بخشهاي زير تشكيل شده است:
    • 27. کارگزار کربروس
    • 28. کارفرمایان
    • 29. کارگزاران كاربردي Application Servers
    • 30. کارگزار کربروس گذرواژه تمام کاربران را در پایگاه داده خود دارد.
    • 31. کارگزار کربروس با هر کارگزار كاربردي کلیدی مخفی به اشتراک گذاشته است.
    • 32. معمولاً هر قلمرو معادل یک حوزه مدیریتی میباشد.
  • اصول KERBEROS
    هرموجودیت متقاضی سرویس
    بایدهویت خودرا اثبات کند
    هرسرویس دهنده دارای کلمه
    عبوراست وتحت ظوابط
    خاصی سرویس می دهد
    هر کاربر در اولین مرحله
    از«ورود به سیستم» فقط
    هویت خود را اثبات می کند،
    ولی برای سرویس گرفتن از
    هر سرویس دهنده باید
    مجوزهای جداگانه ای اخذ کند
  • 33. آلیس
    Server
    AS
    TGS
    A
    B
    سرویس دهنده
    احراز هویت
    سرویس دهنده صدوربلیط
    سرویس دهنده شبکه
    1
    A
    2
    3
    4
    5
    6
    زمان
    زمان
    آغاز نشست
  • 34. بلیط
    در واقع نوعي گواهي است كه هنگام ورود كاربر به قلمرو کربروس به او داده مي شود كه بيانگر اعتبار او براي دسترسي به منابع شبكه مي باشد.
  • 35. افزایش ایمنیديالوگ 1
    • استفاده از يک کارگزار جديد با نام کارگزار اعطا کننده بليط
    • 36. TGS: Ticket Granting Server
    • 37. کارگزار احراز هويت،AS، کماکان وجود دارد.
    • 38. بليط «اعطاء بليط» ticket-granting ticket توسط آن صادر می شود.
    • 39. اگرچه بليطهای اعطاء خدمات توسط TGS صادر ميشوند.
    • 40. بليط «اعطاء خدمات» service-granting ticket
    • 41. اجتناب از انتقال کلمه عبور با رمز کردن پيام کارگزار احراز هويت (AS)به کارفرما توسط کليد مشتق شده از کلمه عبور
  • افزایش ایمنیديالوگ 1
    پيامهاي شماره يک و دو به ازاء هر جلسه Log on رد و بدل ميشوند.
    پيامهاي شماره سه و چهار به ازاء هر نوع خدمات رد و بدل ميشوند.
    پيام شماره پنج به ازاء هر جلسه خدمات رد و بدل ميشود.
    Client  AS:IDClient || IDTGS
    AS  Client:EKClient [TicketTGS]
    Client  TGS:IDClient || IDServer || TicketTGS
    TGS  Client:TicketServer
    Client  Server:IDClient || TicketServer
  • 42. ويژگي هايديالوگ 1
    • دو بليط صادر شده ساختار مشابهی دارند. در اساس به دنبال هدف واحدی هستند.
    • 43. رمزنگاری TicketTGS جهت احراز هویت
    • 44. تنها کارفرما می تواند به بليط رمزشده دسترسی پيدا کند.
    • 45. رمز نمودن محتوای بلیطها تمامیت (Integrity) را فراهم میکند.
    • 46. استفاده از مهر زمانی (Timestamp) در بلیطها آنها را برای یک بازه زمانی تعریف شده قابل استفاده مجدد میکند.
    • 47. هنوز از آدرس شبکه برای احراز هویت بهره میگیرد.
    • 48. چندان جالب نیست زیرا آدرس شبکه جعل (Spoof) میشود.
    • 49. با این حال، درجه ای از امنیت مهیا می شود
  • نقاط ضعف ديالوگ 1
    • مشكل زمان اعتبار بلیطها:
    • 50. زمان كوتاه : نياز به درخواست هاي زياد گذرواژه
    • 51. زمان بلند : خطر حمله تکرار
    • 52. هويت شناسی يکسويه : عدم احراز هويت کارگزارتوسط كارفرما
    • 53. رسيدن درخواست ها به يك کارگزارغيرمجاز
  • تمامی با کلید TGS رمز شده اند
    بلیط TGS
    کلید جلسه بین کارفرما و
    TGS
    شناسهکارفرما
    مهر زمانی و
    دوره اعتبار بلیط
    آدرس کارفرما
    شناسهTGS
  • 54. نتايج اين مرحله براي كارفرما
    • بدست آوردن امنبليط «اعطاء بليط» از AS
    • 55. بدست آوردن زمان انقضاي بليط(TS2)
    • 56. بدست آوردن كليد جلسه امن بين کارفرما و TGS
  • 4.
    3.
    بدست آوردن بليط «اعطاء خدمات»
    Server
    Client
    TicketServer=
    EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]
    AuthenticatorClient=
    EKClient,tgs[IDClient|AddrClient|TS3]
  • 57. تمامی با کلید کارگزار رمز شده اند
    بلیط کارگزار
    کلید جلسه بین کارفرما و
    کارگزار
    شناسهکارفرما
    مهر زمانی و
    دوره اعتبار بلیط
    آدرس کارفرما
    شناسهTGS
  • 58. تمامی با کلید جلسه رمز شده اند
    شناسهکارفرما
    اعتبار نامه کارفرما
    مهر زمانی
    آدرس کارفرما
  • 59. نتايج اين مرحله براي كارفرما
    • جلوگيري از حمله تکرار با استفاده از يكاعتبار نامه (Authenticator) يكبار مصرف كه عمر كوتاهي دارد.
    • 60. بدست آوردن كليد جلسه براي ارتباط با سرور
  • 5.
    6.
    دستيابي به خدمات سرور
    Server
    Client
  • 61. ضعف های Kerberos
    • به خطر افتادن سرویس گر معتمد مرکزی، زیان بار است زیرا ان مقادیر سری طویل المدت کاربران را نگهداری می کند. کربروس نسبت به حملات واژه نامه ای برای حدس گذر واژه ها آسیب پذیر است.
    • 62. کربروس سرویس های عدم انکار را فراهم نمی کند. (امضاهای رقمی)
  • Kerberos V5
    در این نسخه هر بلیط صادره توسط سرویس دهنده TGS دارای محتویات زیر است:
    • شناسه کاربری
    • 63. نام نمادین سرویس دهنده
    • 64. آدرس ماشین مشتری
    • 65. کلید نشت
    • 66. زمان اعتبار بلیط
    • 67. مهر زمان
  • مزیت های Kerberos V5
    • برای اینکه کربروس قابلیت گسترش در سطح شبکه های بسیار بزرگ را داشته باشد سعی شده که کل شبکه به صورت سلسله مراتبی در قالب چندین قلمرو برای خودش یک سرویس دهنده AS و TGS داردکه بار کاربران قلمرو خود را به دوش میکشد.
    • 68. برای توصیف داده ها از نماد گذاری ASN.1 استفاده شده است و سعی شده وابستگی به DES از بین برودو امکان رمزنگاری متقارن در سیستم وجود داشته باشد.
    • 69. کارایی این نسخه با 280000کاربر آزمایش شده و به اثبات رسیده است.
  • احراز هویت با استفاده از رمزنگاری کلید عمومی
    • هر گاه در شبکه ای بتوان کلیدهای عمومی افراد را به روشی امن بدست آورد می توان احراز هویت را به روشی ساده تر مبتنی بر رمزنگاری عمومی پیاده سازی کرد.
    • 70. برای اعمال این روش می توان از صدور گواهینامه دیجیتال X.509 و سیستم PKI استفاده کرد.
  • آلیس
    سرویس دهنده توزیع کلید عمومی
    باب
    A
    B
    تقاضای دریافت کلید عمومی باب
    دریافت کلید عمومی یا گواهینامه باب
    3
    4تقاضای دریافت کلید عمومی آلیس
    5 دریافت کلید عمومی آیا گواهینامه لیس
    7
    آغاز نشست
    زمان
    زمان
  • 71. نتیجه گیری
    در تمام روش های معرفی شده از رایج ترین مکانیزم های مورد استفاده در شبکه های کامپیوتری و تجارت الکترونیک ترکیبی از Kerberos 5 و استفاده از کلیدهای عمومی(نامتقارن) مانند RSA است که امنیت روش Kerberos 5 را به طور شایانی افزایش می دهد.
  • 72. بررسی حملهInjectionSql و روش مقابله با آن
  • 73. مقدمه
    • حفظ امنیت تجارت الکترونیک در میان توسعه دهندگان سایت‏ها از اهمیت ویژه‏ای برخوردار است و این امر در گرو دفع آسیب‏پذیری سایت‏ها و مقابله دقیق و صحیح با تهدیداتWeb Application‏‏هاست.
    • 74. بسیاری از حمله‏ها در سطح برنامه صورت می‏گیرد و یکی از مهم‏ترین آنها Sql Injection است. در این نوع حمله پایگاه داده سایت مورد حمله قرار می‏گیرد.
    • 75. این حمله در بسیاری از مواقع برای جعل هویت فرد و دستیابی به داده ها به شکل غیر مجاز به کار می رود.
    • 76. اولين بار حمله Sql Piggybackingيا Sql Injection در اواخر سال 1998 مطرح شد.
    • 77. طبق بررسي‌هايي كه از سال 2002 تا 2007 انجام شد نشان داد که بيش از 10 درصد از كل آسيب‌پذيري‌ها مربوط به Sql Injection بوده و 20 درصد از اين آسيب‌پذيري‌ها مربوط به اعتبارسنجي داده‌هاست.
    • 78. طبق بررسي‌هاي اخير 16 درصد از وب‌سايت‌ها در مقابل اين حمله آسيب‌پذيرند.
  • قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    1-بخش ثبت نام و ویرایش اطلاعات
  • 79. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    1-بخش ثبت نام و ویرایش اطلاعات
    • مکانیسم حمله:دستکاری ورودی کاربران، Second Order Injection با استفاده از این مکانیسم می‏توان با ثبت نام یک کاربر به روش‏های خاص در این قسمت بعضی از محدودیت‏هایی که برنامه نویس اعمال می‏کند را دور زد.
    • 80. هدف حمله: تشخیص پارامتر‏های تزریق،تعریف شمای بانک اطلاعاتی،اضافه یا تعریف داده،گذر کردن از احراز هویت،اجرای دستورات
    • 81. نمونه‏هایی از حملات:Union Query, Piggy Backed Query،توابع و..
    • 82. روش‏های مقابله:قرار دادن يك گرداننده‌ي پايگاه داده‌ي امن، Lock Down در Sql Server، استفاده از عبارت‌هاي آماده ، سازگاري پيغام خطاها، استفاده از Store Procedureها، اعتبارسنجي ورودي‏ها،اتصالات با کمترین حق دسترسی
  • قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    2-ورود اعضا
  • 83. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    2-ورود اعضا
    • مکانیسم حمله: دستکاری ورودی کاربران،Second Order Injection
    • 84. هدف: تشخیص پارامترهای تزریق،performing database fingerprinting،تعریف شمای پایگاه داده،Extracting Data، اضافه یا دستکاری داده‏ها،performing denial of service ،avoiding detection ، By passing authentication ،Executed remote command
    • 85. نمونه‏هایی از حملات: همه‏ی حمله‏ها را می‏تواند به کار برده شود به خصوص حمله‏های استفاده از استنتاج
    • 86. روش‏های مقابله:قرار دادن يك گرداننده‌يپايگاه داده‌ي امن، سازگاري پيغام خطاها، استفاده از Store Procedureها، اعتبارسنجي ورودي‏ها، Escaping Table Name،عدم دسترسی به فایل‏های سیستمی، اتصالات با کمترین حق دسترسی
  • قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    3- تعامل با بانک صاحب حساب، وارد کردن اطلاعات حساب
  • 87. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    3- تعامل با بانک صاحب حساب، وارد کردن اطلاعات حساب
    • مکانیسم حمله: دستکاری ورودی کاربران،Second Order Injection
    • 88. هدف حمله: تشخیص پارامتر‏های تزریق،تعریف شمای بانک اطلاعاتی،اضافه یا تعریف داده،گذر کردن از احراز هویت،اجرای دستورات Remotes دوری از تشخیص
    • 89. نمونه‏هایی از حملات:Union Query, Piggy Backed Query،توابع و..Illegal/Logically Incorrect Queries
    • 90. روش‏های مقابله:قرار دادن يك گرداننده‌ي پايگاه داده‌ي امن، سازگاري پيغام خطاها، اعتبارسنجي ورودي‏ها ،Escaping Table Name،Lock Downدر SqlServer ، استفاده از عبارت‌هاي آماده
  • قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    4-کوکی
  • 91. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    4-کوکی
    • مکانیسم حمله: حمله به کوکی‏ها اگر اطلاعات فرد درون آن‏ها ذخیره گرد.
    • 92. هدف حملهPerforming Privilege Escalation:،گذر کردن احراز هویت‏ها، بدست آوردن مقدار داده‏ها
    • 93. نمونه‏هایی از حملاتpiggy backed query, tautology :
    • 94. روش‏های مقابله: اعتبارسنجي ورودي‏ها ،Lock Downدر Sql Server، استفاده از عبارت‌هاي آماده ، اتصالات با کمترین حق دسترسی
  • قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    5-URL
  • 95. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    5-URL
    • مکانیسم حمله: نفوذ به متغیرهای سرور
    • 96. هدف حمله: جهت فهمیدن ورژن بانک ،نوع بانک ،شمای بانک،تشخیص پارامترهای تزریق،بدست آوردن مقدار داده‏ها، Performing DenialOf Service
    • 97. نمونه‏هایی از حملات:Union Query, Tautology,، Legal/Logically Incorrect Queries،Piggy Back Query ، استفاده از وقفه‏های زمانی
    • 98. روش‏های مقابله:قرار دادن يك گرداننده‌يپايگاه داده‌ي امن، سازگاري پيغام خطاها، اعتبارسنجي ورودي‏ها ،Escaping Table Name،عدم دسترسی به فایل‏های سیستمی،استفاده از عبارت‏های آماده
  • قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    6- انتخاب کالا و سبد خرید
  • 99. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    6- انتخاب کالا و سبد خرید
    • مکانیسم حمله: دستکاری ورودی کاربران
    • 100. هدف: اضافه و تغییر دستورات،اجرای دستورات Remote،تشخیص پارامترهای تزریق
    • 101. نمونه‏هایی از حملات: Union Query‏ها،توابع ،Store Procedure‏ها
    • 102. روش‏های مقابله: سازگاري پيغام خطاها، اعتبارسنجي ورودي‏ها ،Escaping Table Name،استفاده از عبارت‏های آماده، استفاده از Store Procedureها
  • قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    7- پیشنهاد قیمت، قراردادن کامنت، تماس با ما، بحث پیرامونموضوع، پیام خصوصی
  • 103. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    7- پیشنهاد قیمت، قراردادن کامنت، تماس با ما، بحث پیرامونموضوع، پیام خصوصی
    • مکانیسم حمله: دستکاری ورودی کاربران
    • 104. هدف حمله: اضافه و تغییر داده‏ها،اجرای دستوراتRemote
    • 105. نمونه‏هایی از حملات: توابع و Store Procedure‏ها
    • 106. روش‏های مقابله:قرار دادن يك گرداننده‌ي پايگاه داده‌ي امن،Lock Down در Sql Server، استفاده از عبارت‌هاي آماده ، سازگاري پيغام خطاها، استفاده از Store Procedureها، اعتبارسنجي ورودي‏ها،اتصالات با کمترین حق دسترسی
  • قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    8- جستجوی کالا
  • 107. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک
    8- جستجوی کالا
    • مکانیسم حمله: دستکاری ورودی کاربران
    • 108. هدف حمله: بدست آوردن شمای بانک،بدست آوردن مقدار داده‏ها،Performing Denial Of Service
    • 109. نمونه‏هایی از حملات: توابع و Store Procedure‏ها
    • 110. روش‏های مقابله:قرار دادن يك گرداننده‌ي پايگاه داده‌ي امن،Lock Down در Sql Server، استفاده از عبارت‌هاي آماده ، سازگاري پيغام خطاها، استفاده از Store Procedureها، اعتبارسنجي ورودي‏ها،اتصالات با کمترین حق دسترسی
  • ارائه‏ی مدلی جهت مقابله باInjection Sql
  • 111. ارائه‏ی مدلی جهت مقابله باInjection Sql
    1-مدیریت پایگاه داده
    • قرار دادن يك گرداننده‌يپايگاه داده‌ي امن
    • 112. Lock Down در Sql Serve
    2- اتصال به پایگاه داده
    • استفاده از عبارت‌هاي آماده
    • 113. سازگاري پيغام خطاها
    • 114. استفاده از Store Procedureها.
    3- برنامه نویسی برنامه وب تجارت الکترونیک
    • اتصالات با کمترین حق دسترسی
    • 115. عدم دسترسی به فایل‏های سیستمی
    • 116. غیر فعال کردنAdhoc
    • 117. اعتبارسنجي ورودی‏ها
    • 118. Escaping Table Name
    • 119. مدیریت سطح دسترسی‏ها به پایگاه داده
  • ﺗﻮﺻﯿﻪ ﻫﺎيي به مديران سايت
    • اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ كنند ﮐﻪ ﻫﯿﭻﮔﻮﻧﻪ آﺳﯿﺐﭘﺬﯾﺮي ‪ Sql Injectionﻧﺪارند؛ ﭼﺮا ﮐﻪ ﺣﺘﯽ اﮔﺮ ﺗﻤﺎﻣﯽ ﻣﺸﮑﻼت را ﺷﻨﺎﺳﺎﯾﯽ ﮐـﺮده و در ﺟﻬـﺖ رﻓـﻊ آن اﻗـﺪام کنند، ﻣﺸـﮑﻼت ‫ﺟﺪﯾـﺪ روزﺑـﻪروز در ﺣـﺎل اﯾﺠـﺎد ﻫﺴـﺘﻨﺪ.
    • 120. ﺑـﺮاي ﺟﻠـﻮﮔﯿﺮي از ‪Sql Injectionﺧـﻮب اﺳـﺖ ﮐـﻪ از ﮔـﺰارشﻫـﺎي ﭘـﺎراﻣﺘﺮي ﺷـﺪه اﺳﺘﻔﺎده شود.
    • 121. همچنین توصیه می‏شود تا به پروتکلهای جدید سیستم‏های پرداخت الکترونیک آشنا باشند و پروتکلهای مورد استفاده خود را به روز کنند.
    • 122. در ضمن باید از امنیت پرتال پرداخت بانک اطمیینان کامل داشت.
    • 123. علاوه بر آن آشنایی با قوانین حقوقی می‏تواند در بسیاری از موارد خسارت‏های احتمالی ناشی از حمله را جبران کند.
    • 124. ﻫﻤﭽﻨﯿﻦ ﺑﺴﯿﺎر ﻣﻬﻢ اﺳﺖ ﮐﻪ ‪ Security Fixبه‏روز ﺑﺎﺷد.
    • 125. ﻓﯿﻠﺘﺮﻫﺎي دﯾﻮارآﺗﺶ را ﺑﺮاي ﺑﻼک ﮐﺮدن ﺗﺮاﻓﯿﮏﻫـﺎي ﻏﯿﺮﺿـﺮوري دور از کنترل، ﭘﯿﮑﺮﺑﻨﺪي و ﺗﺴﺖ شود. اﯾﻦﮐﺎر ﻧﻪﺗﻨﻬﺎ ﺑﺎﻋﺚ ﻣﯽﺷﻮد ﮐﻪ ﺑﺎﻧﮏ ﻫﺎي اﻃﻼﻋﺎﺗﯽ ﺑﯿﺸـﺘﺮ اﻣـﻦ ﺷـﻮﻧﺪ ﺑﻠﮑـﻪ .
    ﺑﺎعث ﻣـﯽﺷﻮﻧﺪ ﮐﻞ ﺷﺒﮑﻪ اﻣﻦ ﮔﺮدد
    • استفاده از ابزارهاي متفاوت براي تشخيص نقاط آسيب‏پذير سايت است. به عنوان مثال:Sqlbrute (نقاط آسيب‏پذير در برابر حملات كوركورانه را تشخيص مي‏دهد)،Acunetix Web
  • نتیجه
    • مباحث مربوط به برقراری امنیت در دنیای مجازی به خصوص سایت‏های تجارت الکترونیک از اهمیت ویژه‏ای برخوردارند، به‏طوريكه بايد كليه امكانات قانوني و حقوقي در كنار امكانات فني به‏كار گرفته شود تا از جرايم مجازي جلوگيري شود.
    • 126. بسیاری از نفوذهایی که به یک Web Application می‏شود ناشی از نقص، حفره‍هاي برنامه‏نويسي و ضعف بانک اطلاعاتی می‏باشد.
    • 127. در سالهای اخیر مهمترین حملات به پایگاه داده مخصوصا در مورد سایتها با قابلیت پرداخت الکترونیک و کارتهای کریدیت
    • 128. به كار گيري الگوريتم Kerberos به دليل به كارگيري بليط باعث مي شود برنامه كاربردي در مقابل sql Injection مقاوم شود .
  • منابع
    • Roger Needham, Michael Burrows , Martin Abadi ; A logical of Authentication; ACM Transaction on computer System , Vol.8,No.1
    • 129. Andrews . Tanenbaum , Computer Networks, Fourth Edition,2003
    • 130. Matthew Strebe, Foundation Network Security,2004
    • 131. Kachakil D, 2009, Sfx-SQLi (Select For Xml SQL Injection)
    • 132. Thomas S , Williams L, Xie T, 2008, On Automated Prepared Statement Generation To Remove SQL Injection Vulnerabilities, Information And Software Technology ,
    • 133. Chris A , 2002,Advanced SQL Injection, An Ngssoftware Insight Security Research (Nisr) Publication
    • 134. Halfond W, Viegas J, Orso A,2006,A Classification of SQL Injection
    • 135. Mitropoulos D, Spinellis D, 2008, Sdriver: Location-Specific Signatures Prevent SQL Injection Attacks, Compute R S & S E C U R I T Y Xx X ( 2 0 0 8).
    • 136. Malware Detection, 2007,Chapter2,Halfond W And OrsoA,”Detection And Prevention Of SQL Injection Attacks”, Springer Us, Volume 27, Isbn978-0-387-32720-4 (Print) 978-0-387-44599-1 (Online)

×