‫احراز ًَیت ي مکاویسم َای آن‬      ‫فُیمٍ پارسایی‬       ‫داوشجًی رشتٍ تجارت الکتريویک‬                  ‫بُمه 98‬
‫مرکس توزیع‬                              ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬     ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫...
‫مرکس توزیع‬                                   ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                            ‫نی...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                    ‫نیدهام-شرودر‬   ...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬       ‫چالش و پاسخ‬   ‫‪HMAC‬‬                  ‫نیدهام-شرودر‬ ...
‫مرکس توزیع‬                              ‫رمسنگاری‬‫مقدمه‬       ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬  ...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪KE...
‫مرکس توزیع‬                               ‫رمسنگاری‬‫مقدمه‬     ‫چالش و پاسخ‬     ‫‪HMAC‬‬                 ‫نیدهام-شرودر‬...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                  ‫نیدهام-شرودر‬   ‫‪...
‫مرکس توزیع‬                                 ‫رمسنگاری‬‫مقدمه‬          ‫چالش و پاسخ‬       ‫‪HMAC‬‬                      ...
‫مرکس توزیع‬                                  ‫رمسنگاری‬ ‫مقدمه‬         ‫چالش و پاسخ‬       ‫‪HMAC‬‬                     ...
‫مرکس توزیع‬                              ‫رمسنگاری‬‫مقدمه‬        ‫چالش و پاسخ‬     ‫‪HMAC‬‬                       ‫نیدها...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬    ‫چالش و پاسخ‬   ‫‪HMAC‬‬                 ‫نیدهام-شرودر‬   ‫‪...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪KE...
‫مرکس توزیع‬                                 ‫رمسنگاری‬    ‫مقدمه‬      ‫چالش و پاسخ‬     ‫‪HMAC‬‬                   ‫نیده...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪KE...
‫مرکس توزیع‬                                  ‫رمسنگاری‬‫مقدمه‬          ‫چالش و پاسخ‬         ‫‪HMAC‬‬                   ...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬    ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪K...
‫مرکس توزیع‬                                      ‫رمسنگاری‬‫مقدمه‬     ‫چالش و پاسخ‬         ‫‪HMAC‬‬                    ...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬      ‫چالش و پاسخ‬    ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ...
‫مرکس توزیع‬                                         ‫رمسنگاری‬‫مقدمه‬            ‫چالش و پاسخ‬            ‫‪HMAC‬‬       ...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪KE...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪KE...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬    ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪K...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪KE...
‫مرکس توزیع‬                              ‫رمسنگاری‬‫مقدمه‬    ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬    ‫...
‫مرکس توزیع‬                                     ‫رمسنگاری‬   ‫مقدمه‬        ‫چالش و پاسخ‬   ‫‪HMAC‬‬                     ...
‫آلیس‬                                                         AS                         TGS                  Server     ...
‫مرکس توزیع‬                              ‫رمسنگاری‬‫مقدمه‬    ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪...
‫مرکس توزیع‬                                ‫رمسنگاری‬‫مقدمه‬      ‫چالش و پاسخ‬       ‫‪HMAC‬‬                      ‫نیده...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                   ‫نیدهام-شرودر‬   ‫...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬       ‫چالش و پاسخ‬   ‫‪HMAC‬‬                  ‫نیدهام-شرودر‬ ...
‫مرکس توزیع‬                              ‫رمسنگاری‬‫مقدمه‬    ‫چالش و پاسخ‬      ‫‪HMAC‬‬                    ‫نیدهام-شرود...
‫مرکس توزیع‬                                   ‫رمسنگاری‬‫مقدمه‬          ‫چالش و پاسخ‬     ‫‪HMAC‬‬                    ‫ن...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                  ‫نیدهام-شرودر‬   ‫‪...
‫مرکس توزیع‬                                         ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬       HMAC                         ...
‫مرکس توزیع‬                                   ‫رمسنگاری‬‫مقدمه‬            ‫چالش و پاسخ‬     ‫‪HMAC‬‬                    ...
‫مرکس توزیع‬                                     ‫رمسنگاری‬‫مقدمه‬           ‫چالش و پاسخ‬   ‫‪HMAC‬‬                    ‫...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬     ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪...
‫مرکس توزیع‬                                   ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                    ‫نیدهام-شرو...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬     ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬    ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪K...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                  ‫نیدهام-شرودر‬   ‫‪...
‫مرکس توزیع‬                             ‫رمسنگاری‬‫مقدمه‬   ‫چالش و پاسخ‬   ‫‪HMAC‬‬                ‫نیدهام-شرودر‬   ‫‪KE...
‫مرکس توزیع‬                                                     ‫رمسنگاری‬‫مقدمه‬       ‫چالش و پاسخ‬             ‫‪HMAC‬...
‫ًتیدِ گیطی‬‫زض توبم ضٍـ ّبی هؼطفی قسُ اظ ضایح تطیي هىبًیعم‬‫ّبی هَضز اؾتفبزُ زض قجىِ ّبی وبهپیَتطی ٍ‬‫تدبضت الىتطًٍیه تطو...
‫هقذهِ‬‫ﮀفظ اهٌیت تجاست الکتشًٍیک دس هیاى تَسعِ دٌّذگاى سایتّا اص اّویت ٍیظُای تشخَسداس‬        ‫‪‬‬‫است ٍ ایي اهش دس گشٍ...
‫قسوتّای آسیةپزیش سایتّای تجاست‬                       ‫الکتشًٍیک‬         ‫1-تخص ثثت نام و ویرایص اطالعات‬
‫قسوتّای آسیةپزیش سایتّای تجاست الکتشًٍیک‬                                                        ‫1-تخص ثثت نام و ویرایص ...
‫قسوتّای آسیةپزیش سایتّای تجاست‬                       ‫الکتشًٍیک‬                       ‫2-ورود اعضا‬
‫قسوتّای آسیةپزیش سایتّای تجاست‬                                   ‫الکتشًٍیک‬                                            ...
‫قسوتّای آسیةپزیش سایتّای تجاست‬                         ‫الکتشًٍیک‬‫3- تعاهل تا تانک صاحة حساب، وارد کردى اطالعات‬       ...
‫قسوتّای آسیةپزیش سایتّای تجاست‬                                 ‫الکتشًٍیک‬                      ‫3- تعاهل تا تانک صاحة ح...
‫قسوتّای آسیةپزیش سایتّای تجاست‬                       ‫الکتشًٍیک‬                         ‫4- کوکی‬
‫قسوتّای آسیةپزیش سایتّای تجاست‬                                ‫الکتشًٍیک‬                                               ...
‫قسوتّای آسیةپزیش سایتّای تجاست‬                       ‫الکتشًٍیک‬                          ‫5-‪URL‬‬
‫قسوتّای آسیةپزیش سایتّای تجاست‬                               ‫الکتشًٍیک‬                                                ...
‫قسوتّای آسیةپزیش سایتّای تجاست‬                       ‫الکتشًٍیک‬               ‫6- اًتخاب کاال ٍ سثذ خشیذ‬
‫قسوتّای آسیةپزیش سایتّای تجاست‬                                 ‫الکتشًٍیک‬                                             ‫...
‫قسوتّای آسیةپزیش سایتّای تجاست‬                           ‫الکتشًٍیک‬‫7- پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث‬  ...
‫قسوتّای آسیةپزیش سایتّای تجاست‬                                 ‫الکتشًٍیک‬     ‫7- پیشنهاد قیوت، قراردادى کاهنت، تواس تا...
‫قسوتّای آسیةپزیش سایتّای تجاست‬                       ‫الکتشًٍیک‬                    ‫8- جستجوی کاال‬
‫قسوتّای آسیةپزیش سایتّای تجاست‬                                   ‫الکتشًٍیک‬                                            ...
‫اسائِی هذلی جْت هقاتلِ تا ‪Sql Injection‬‬
‫اسائِی هذلی جْت هقاتلِ تا ‪Sql Injection‬‬                                            ‫1-هذیریت پایگاه داده‬             ...
‫تَغیِ ّایی تِ هذیشاى سایت‬   ‫‪ ‬اعویٌاى ﮀاغل کٌٌذ کِ ّیﭻگًَِ آسیةپزیشی ‪ً Sql Injection‬ذاسًذ؛ ﭼشا کِ ﮀتی اگش تواهی‬  ‫...
‫ًتیجِ‬    ‫هثاﮀﺚ هشتَط تِ تشقشاسی اهٌیت دس دًیای هجاصی تِ خػَظ سایتّای تجاست‬              ‫‪‬‬       ‫الکتشًٍیک اص اّوی...
‫هٌبثغ‬•   Roger Needham, Michael Burrows , Martin Abadi ; A logical of Authentication;    ACM Transaction on computer Sys...
Authentication
Upcoming SlideShare
Loading in …5
×

Authentication

710 views
656 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
710
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
29
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Authentication

  1. 1. ‫احراز ًَیت ي مکاویسم َای آن‬ ‫فُیمٍ پارسایی‬ ‫داوشجًی رشتٍ تجارت الکتريویک‬ ‫بُمه 98‬
  2. 2. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫‪authentication‬‬ ‫‪authorization‬‬ ‫‪auditing‬‬
  3. 3. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫احطاظَّیت‬‫‪ ‬ضٍـ یب هىبًیعهی اؾت وِ ثط اؾبؼ آى ّط هَخَزیت (هثل یه‬‫پطٍؾِ یب قرم) ثطضؾی هی وٌس وِ آیب قطیه اٍ زض یه‬‫اضتجبٌ (یؼٌی هَخَزیت َطف همبثل)، ّوبًی اؾت وِ ازػب هی‬‫وٌس یب یه اذالل گط ثبلث اؾت وِ ذَز ضا ثدبی َطف ٍالؼی‬ ‫خب ظزُ اؾت.‬ ‫خؼل ٍ اضؾبل زازُّبی ؾبذتگی‬
  4. 4. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫احطاظَّیت‬ ‫چیعی وِ وبضثط ثساًس‬ ‫ضهع ػجَض هتٌی، ضهع ػجَض تهَیطی‬ ‫چیعی وِ وبضثط هبله آى اؾت‬ ‫تَويّبی اهٌیتی، وبضتّبی َّقوٌس‬ ‫چیعی وِ وبضثط اظ ًظط ثیَلَغیه زاضز‬ ‫اثط اًگكت، الگَی قجىِ چكن، تكریم چْطُ،‬ ‫تكریم نسا‬
  5. 5. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ولوِ ػجَض‬ ‫ضایحتطیي ًَع احطاظ َّیت اؾت.‬ ‫هعیت‬ ‫پیبزُ ؾبظی ثؿیبض ؾبزُ‬ ‫هؼبیت‬ ‫هی تَاى آى ضا حسؼ ظز.‬ ‫ثِ آؾبًی ثِ زیگطی زازُ هی قَز.‬ ‫یبزآٍضی آى، ثِ ٍیػُ اگط هطتجب اؾتفبزُ ًكَز، ّویكِ آؾبى ًیؿت.‬ ‫آهَظـ وبضثطاى‬
  6. 6. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫تَوي‬ ‫تَوي زاضای حبفظِای ثطای اًدبم ػولیبت ضهعًگبضی‬ ‫ٍ ًگْساضی گَاّیّبی الىتطًٍیىی ّؿتٌس ٍ ثب‬ ‫اؾتفبزُ اظ ضیع تطاقِ هَخَز زض آى ّب ٍ ثىبضگیطی‬ ‫الگَضیتن ّبی پیچیسُ، ػولیبت ضهع ًگبضی اًدبم هی‬ ‫قَز‬ ‫تٌْب قرهی وِ زاضًسُ تَوي هی ثبقس، هی تَاًس ثب‬ ‫ٍاضز وطزى ولوِ ػجَض تَوي ثِ اَالػبت هحطهبًِ‬ ‫زؾتطؾی پیسا وٌس.‬
  7. 7. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ثیَهتطیه‬ ‫اؾتفبزُ اظ ذهَنیبت فیعیىی اقربل‬ ‫هعیت‬ ‫غیط لبثل زؾتطؾی، گن قسى، فطاهَقی‬ ‫ػیت‬ ‫ّعیٌِ، ًهت، ًگْساضی‬
  8. 8. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫احطاظ َّیت ثط اؾبؼ ضٍیىطز چبلف ٍ پبؾد‬‫چبلف ٍ پبؾد (‪ :)challenge and Response‬یىی اظ َطفیي ، یه ػسز یب ضقتِ‬‫ای تهبزفی تَلیس ٍآى ضا ثطای َطف همبثل ذَز هی فطؾتس. َطف همبثل ثبیس تجسیل‬‫ذبنی ضا ضٍی آى اػوبل وٌس ٍ ًتیدِ ضا ثطگطزاًس. ثِ ػسز یب ضقتِ ی تهبزفی «ضقتِ‬ ‫چبلف ‪» nonce‬گفتِ هی قَز.‬ ‫‪nonce‬‬ ‫در محديدٌ ای‬ ‫باید کامال تصادفی‬ ‫بسرگ (حداقل 821‬ ‫باشد‬ ‫بیت) باشد‬
  9. 9. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬‫آلیؽ ٍ ثبة لجال زض ذهَل یه ولیس ؾطی ٍ هتمبضى َجك ضٍقی‬‫هُوئي ثِ تَافك ضؾیسُ اًس.ایي ولیس هتمبضى ًبهیسُ هی قَز. اظ‬‫آًدب وِ تحت ّیچ قطایُی ولیس ضهع ًجبیس ثط ضٍی قجىِ هٌتمل‬‫قَز لصا آًْب ثطای احطاظ َّیت یىسیگط ثِ ضٍیىطز چبلف ٍ‬ ‫پبؾد هتَؾل هی قًَس.‬ ‫‪ B‬هؼطف ثبة‬ ‫‪ A‬هؼطف آلیؽ‬ ‫‪ K‬هؼطف ولیس‬ ‫‪ R‬هؼطف ضقتِ چبلف‬
  10. 10. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫آلیس‬ ‫باب‬ ‫‪A‬‬ ‫‪B‬‬ ‫1‬ ‫‪A‬‬ ‫2‬ ‫‪RB‬‬ ‫3‬ ‫) ‪K AB ( RB‬‬ ‫4‬ ‫‪RA‬‬ ‫5‬‫ظهبى‬ ‫) ‪K AB ( RA‬‬ ‫ظهبى‬ ‫آغبظ ًكؿت‬
  11. 11. ‫مرکس توزیع‬ ‫رمسنگاری‬ ‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ًمس ٍ ثطضؾی‬ ‫‪T‬‬ ‫اخالل گر‬ ‫یىی ‪ B‬هكىالت ایي ضٍـ حولِ ثبظتبة اؾت.‬ ‫باب‬ ‫اظ‬ ‫1‬ ‫‪A, RT‬‬ ‫2‬ ‫) ‪RB, K AB ( RT‬‬ ‫3‬ ‫‪A, RB‬‬ ‫4‬ ‫) ‪RB 2 , K AB (R B‬‬ ‫5‬‫ظهبى‬ ‫) ‪K AB ( RB‬‬ ‫ظهبى‬ ‫آغبظ ًكؿت‬
  12. 12. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ضاّىبض‬ ‫َطاحی ؾیؿتن ثِ گًَِ ای ثبقس وِ ثِ هحى هكبّسُ اَالػبت یه ًكؿت زض‬ ‫ًكؿت هَاظی زیگط، ؾیؿتن ّط زٍ ًكؿت ضا لُغ وٌس‬ ‫‪A‬‬ ‫َطفیي ثِ گًَِ ای ضقتِ ّبی چبلف ذَز ضا اظ هدوَػِ ّبی هتفبٍت‬ ‫اًتربة وٌٌس وِ اهوىبى خؼل َّیت ًجبقس‬ ‫‪B‬‬ ‫تطویت ضٍـ ّبی فَق اهٌیت ضا زض ثطاثط حولِ ثبظتبة ثبال هی ثطز.‬
  13. 13. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫‪MAC‬‬‫یىی اظ ایي ‪ّ Hash Function‬ب ‪ MAC‬اؾت. وبضی وِ ‪ MAC‬هیىٌس‬‫ایٌؿت وِ یه ولیس ضا وِ ‪ secret key‬اؾت ثْوطاُ یه پیبم ثؼٌَاى‬‫ٍضٍزی لجَل هیىٌس ٍ یه ذطٍخی هیسّس ثٌبم ‪Message‬‬‫‪ Authentication Code‬وس قٌبؾبیی َّیتی وِ ثِ آى پیبم تؼلك‬‫زاضز ٍ وبضثطز انلی ایي تبثغ ایٌؿت وِ ظهبًیىِ پیبهی ضا ثطای فطزی اضؾبل‬‫هیىٌین آى فطز ثتَاًس اظ َّیت انلی فطز فطؾتٌسُ اَویٌبى حبنل وٌس ٍ‬‫هُوئي قَز وِ فطزی پیبم ضا ثطایف اضؾبل وطزُ وِ آى اًتظبضـ ضا زاقتِ‬ ‫ٍ اضؾبل وٌٌسُ انلی پیبم اؾت.‬
  14. 14. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫‪HMAC‬‬
  15. 15. ‫مرکس توزیع‬ ‫رمسنگاری‬ ‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫‪HMAC‬‬ ‫پیبزُ ؾبظی ایي ضٍـ زض ؾُح ؾرت افعاض ّعیٌِ ون ٍ‬ ‫‪A‬‬ ‫ؾطػت ثبالیی زاضز‬ ‫ثطای زٍ هَخَزیت وِ اظ َطیك یه لیٌه هؿتمین ثِ‬ ‫‪B‬‬ ‫یىسیگط هتهلٌس ، ثؿیبض هفیس اؾت.‬ ‫ثبیس فطو قَز وِ لجال فطایٌس قٌبؾبیی همسهبتی ٍ هجبزلِ ی قٌبؾِ‬‫ّبی وبضثطی نَضت گطفتِ ٍ ایي هىبًیعم نطفب ثطای اثجبت زضؾتی‬ ‫‪C‬‬ ‫ازػبی َطفیي اؾت.‬‫ایي الگَضیتن ثب یه ضٍـ ضهعًگبضی هتمبضى هثل ‪AES‬‬ ‫‪D‬‬ ‫یب‪ serpent‬لبثل خبیگعیي اؾت.‬
  16. 16. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫احطاظ َّیت هتىی ثط هطوع تَظیغ ولیس‬‫‪ ‬فطو وٌیس ذسهبتی وِ یه ثبًه یب هَؾؿِ اػتجبضی اضائِ هی‬‫وٌس ثِ قىلی ثبقس وِ وبضثط حسالل یىجبض زض یىی اظ قؼت‬ ‫حبيط قَز . حؿبة ثبظ وٌس ٍ ولیس ذَز ضا زضیبفت ًوبیس.‬‫‪ )key distributed center(KDC ‬ثِ زلیل حدن ظیبز ولیس‬‫وبضثطاى، ایي هطوع ثطای شذیطُ ٍ هسیطیت ولیسّب ایدبز هی قَز.‬
  17. 17. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫آلیس‬ ‫باب‬ ‫‪KDC‬‬ ‫‪A‬‬ ‫‪B‬‬ ‫1‬ ‫) ‪A, K A ( B, Ks‬‬ ‫3‬ ‫) ‪K B ( A, K s‬‬ ‫آغبظ ًكؿت‬ ‫ظهبى‬ ‫ظهبى‬
  18. 18. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ًمس ٍثطضؾی‬ ‫یىی اظ ذُطات ثؿیبض هْن «حولِ تىطاض» اؾت. ظیطا اذاللگط ثبلث‬ ‫هی تَاًس پیبم ّبی ثیي َطفیي ثسٍى ّیچ فْوی اظ هحتَا اؾتطاق‬ ‫ؾوغ وٌس.‬
  19. 19. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ضاّىبض‬ ‫ثِ وبضگیطی «هْط ظهبى» ثِ هٌظَض تكریم تبظگی پیبم‬ ‫‪A‬‬ ‫زض ّط پیبم ضقتِ تهبزفی ‪ nonce‬ثبقس ٍ گیطًسُ ثب هطاخؼِ ثِ فبیل ًگْساضی‬ ‫ؾبثمِ پیبم ّب، تىطاضی ثَزى ضا ثطضؾی وٌس.‬ ‫‪B‬‬ ‫‪ ‬تطویت ضٍـ ّبی فَق ثْتطیي ضاُ اؾت.‬ ‫‪ ‬ضقتِ ّبی زاضای اػتجبض ظهبًی فمٍ زض ثبفط ًگْساضی هی قًَس.‬
  20. 20. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫هىبًیعم احطاظ َّیت ًیسّبم-قطٍزض‬ ‫‪‬ایي پطٍتىل زض ؾبل 8791 تَؾٍ ضاخطظ ًیسّبم ٍ‬ ‫هبیىل قطٍزض هؼطفی قس .‬‫‪‬هجتٌی ثط هفَْم «چبلف ٍ پبؾد» اؾت ٍ ًیبظ ثِ هطوع‬ ‫تَلیس ولیس زاضز.‬
  21. 21. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫آلیس‬ ‫باب‬ ‫‪KDC‬‬ ‫‪A‬‬ ‫‪B‬‬ ‫1‬ ‫‪RA , A, B‬‬ ‫2‬ ‫)) ‪K A ( RA , B, KS , K B ( A, KS‬‬ ‫3‬ ‫) 2‪K B ( A, KS ), KS ( RA‬‬ ‫4‬ ‫‪K S ( RA2  1), RB‬‬ ‫5‬ ‫)1 ‪K S ( RB ‬‬ ‫آغبظ ًكؿت‬‫ظهبى‬ ‫ظهبى‬
  22. 22. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ًمس ٍ ثطضؾی‬‫اگط اذاللگط ثلیٍ ٍولیس ًكؿت ‪ K‬ضا اؾتطاق ؾوغ وٌس. هیتَاًس اظ‬ ‫‪S‬‬ ‫هطحلِ ؾَم حولِ تىطاض ضا آغبظ وٌس.‬ ‫ولیس ًكؿت‬ ‫‪KS‬‬‫هؼوَال یه ثبض ههطف ٍ ّط ثبض تغییط هی وٌٌس ٍ ػوَهب افطاز ٍ ًطم‬ ‫افعاض ّب زض ًگْساضی آى زلت ًوی وٌٌس.‬
  23. 23. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫‪KERBEROS‬‬‫‪ ‬پطٍتىل احطاظ َّیت ‪ Kerberos‬ثركی اظ پطٍغُ «آتي» زض‬‫زاًكگبُ ‪ MIT‬ثَز وِ زض انل ثط اؾبؼ گًَِ ای اظ پطٍتىل‬‫«ًیسّبم- قطٍزض» ثٌب ًْبزُ قسُ اؾت. ‪ Kerberos‬هتؼلك ثِ اٍاؾٍ‬‫زِّ ّكتبز اؾت ٍلی وبضثطزّبی خسی آى زض ّعاضُ ی خسیس زض‬‫ؾیؿتن ّبی ػبهلی هثل 0002 ‪Solaris ٍ Linux ،Windows‬‬ ‫نَضت ٍالؼیت ثرَز گطفت.‬
  24. 24. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ًبم ‪ Kerberos‬ثطگعیسُ اظ اؾبَیط یًَبى ثبؾتبى اؾت وِ اقبضُ ثِ‬ ‫ؾگی قطظُ ثب ؾِ ؾط ثِ قىل افؼی ٍ یبلی قجیِ قیط زاضزٍ اظ زض‬ ‫زٍظخ ًگْجبًی هی وٌس تب زٍظذیبى ًتَاًٌس اظ آًدب ذبضج قًَس.‬ ‫ٍخِ هكتطن ایي اؾَُضُ وْي ثب ایي پطٍتىل، آضایكی ثب ؾِ‬ ‫هؤلفِ ‪ Server ٍ TGS ،AS‬اؾت وِ ّط وبضثط ثِ تطتیت ثبیس اظ‬ ‫آًْب هدَظ ثگیطز تب لبزض ثِ زضیبفت ؾطٍیؿی ذبل ثبقس. زضافؿبًِ‬ ‫ّب ّطوَل زض ذَاى یبظزّن اظ زٍاظزُ ذبى، وطثطٍؼ ضا وكت ٍ‬ ‫ؾطّبی اٍ ضا ًعز اٍضؾتیَؼ ثطز! وطثطٍؼ زًیبی اهٌیت ضا چِ‬ ‫وؿی ؾط هی ثطز ٍ آى ّطوَل ویؿت؟‬
  25. 25. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ٍیػگیْبی ػوَهی وطثطٍؼ‬ ‫‪‬ػوَهی ثَزى(‪)Common‬‬ ‫زض هحیٍ تَظیغ قسُ ّوطاُ ثب ؾطٍضّبی هتوطوع ٍ غیط هتوطوع‬ ‫‪‬اهٌیت (‪)Security‬‬ ‫ازػبی انلی‬ ‫‪‬اَویٌبى (‪)Reliability‬‬ ‫اَویٌبى اظ فؼبل ثَزى ّوِ ؾطٍیؽ ّب ثطای وبضثطاى هدبظ.‬ ‫‪‬قفبفیت (‪)Transparency‬‬ ‫وبضثطاى ثبیس ؾیؿتن ضا ّوبًٌس یه ؾیؿتن ؾبزُ «قٌبؾِ ٍ ولوِ‬ ‫ػجَض»ثجیٌٌس.‬ ‫‪‬همیبؼ پصیطی (‪)Scalability‬‬ ‫لبثلیت وبض ثب تؼساز ظیبزی هبقیي وبضثط ٍ وبضگعاض‬
  26. 26. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫للوطٍ وطثطٍؼ‬ ‫‪ ‬للوطٍ وطثطٍؼ اظ ثركْبی ظیط تكىیل قسُ اؾت:‬ ‫– وبضگعاض وطثطٍؼ‬ ‫– وبضفطهبیبى‬ ‫– وبضگعاضاى وبضثطزی ‪Application Servers‬‬ ‫‪ ‬وبضگعاض وطثطٍؼ گصضٍاغُ توبم وبضثطاى ضا زض پبیگبُ زازُ‬ ‫ذَز زاضز.‬ ‫‪ ‬وبضگعاض وطثطٍؼ ثب ّط وبضگعاض وبضثطزی ولیسی هرفی ثِ‬ ‫اقتطان گصاقتِ اؾت.‬ ‫‪ ‬هؼوَالً ّط للوطٍ هؼبزل یه حَظُ هسیطیتی هیجبقس.‬
  27. 27. ‫مرکس توزیع‬ ‫رمسنگاری‬ ‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫اصول ‪KERBEROS‬‬‫ّطؾطٍیؽ زٌّسُ زاضای ولوِ‬ ‫ّط وبضثط زض اٍلیي هطحلِ‬ ‫ّطهَخَزیت هتمبيی ؾطٍیؽ‬ ‫ػجَضاؾت ٍتحت ظَاثٍ‬ ‫اظ«ٍضٍز ثِ ؾیؿتن» فمٍ‬ ‫ثبیسَّیت ذَزضا اثجبت وٌس‬ ‫ذبنی ؾطٍیؽ هی زّس‬ ‫َّیت ذَز ضا اثجبت هی وٌس،‬ ‫ٍلی ثطای ؾطٍیؽ گطفتي اظ‬ ‫ّط ؾطٍیؽ زٌّسُ ثبیس‬ ‫هدَظّبی خساگبًِ ای اذص وٌس‬
  28. 28. ‫آلیس‬ AS TGS Server ُ‫ؾطٍیؽ زٌّس‬ ُ‫ؾطٍیؽ زٌّس‬ ُ‫ؾطٍیؽ زٌّس‬ ٍ‫نسٍضثلی‬ ِ‫قجى‬ ‫احطاظ َّیت‬ A B 1 A 2 K A (K s , KTGS (A , K s )) 3 KTGS (A , K s ), B , K s (t ) 4 K s (B , K AB ), K B (A , K AB ) 5 K B (A , K AB ), K AB (t ) 6‫ظهبى‬ K AB (t  1) ‫ظهبى‬ ‫آغبظ ًكؿت‬
  29. 29. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ثلیٍ‬ ‫زض ٍالغ ًَػی گَاّی اؾت وِ ٌّگبم ٍضٍز وبضثط ثِ للوطٍ‬ ‫وطثطٍؼ ثِ اٍ زازُ هی قَز وِ ثیبًگط اػتجبض اٍ ثطای‬ ‫زؾتطؾی ثِ هٌبثغ قجىِ هی ثبقس.‬
  30. 30. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫افعایف ایوٌیزیبلَي 1‬ ‫‪ ‬اؾتفبزُ اظ یه وبضگعاض خسیس ثب ًبم وبضگعاض اػُب وٌٌسُ ثلیٍ‬ ‫– ‪TGS: Ticket Granting Server‬‬ ‫‪ ‬وبضگعاض احطاظ َّیت، ‪ ، AS‬ووبوبى ٍخَز زاضز.‬ ‫– ثلیٍ «اػُبء ثلیٍ» ‪ ticket-granting ticket‬تَؾٍ آى نبزض هی قَز.‬ ‫‪ ‬اگطچِ ثلیُْبی اػُبء ذسهبت تَؾٍ ‪ TGS‬نبزض هیكًَس.‬ ‫– ثلیٍ «اػُبء ذسهبت» ‪service-granting ticket‬‬ ‫‪ ‬اختٌبة اظ اًتمبل ولوِ ػجَض ثب ضهع وطزى پیبم وبضگعاض احطاظ َّیت (‪ )AS‬ثِ‬ ‫وبضفطهب تَؾٍ ولیس هكتك قسُ اظ ولوِ ػجَض‬
  31. 31. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫افعایف ایوٌیزیبلَي 1‬ ‫پیبهْبی قوبضُ یه ٍ زٍ ثِ اظاء ّط خلؿِ ‪ Log on‬ضز ٍ ثسل‬ ‫هیكًَس.‬ ‫پیبهْبی قوبضُ ؾِ ٍ چْبض ثِ اظاء ّط ًَع ذسهبت ضز ٍ ثسل‬ ‫هیكًَس.‬ ‫پیبم قوبضُ پٌح ثِ اظاء ّط خلؿِ ذسهبت ضز ٍ ثسل هیكَز.‬ ‫1.‪Client  AS: IDClient || IDTGS‬‬ ‫2.]‪AS  Client: EKClient [TicketTGS‬‬ ‫3.‪Client  TGS: IDClient || IDServer || TicketTGS‬‬ ‫4.‪TGS  Client: TicketServer‬‬ ‫5.‪Client  Server: IDClient || TicketServer‬‬
  32. 32. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ٍیػگی ّبی زیبلَي 1‬ ‫‪ ‬زٍ ثلیٍ نبزض قسُ ؾبذتبض هكبثْی زاضًس. زض اؾبؼ ثِ زًجبل ّسف‬ ‫ٍاحسی ّؿتٌس.‬ ‫‪ ‬ضهعًگبضی ‪ TicketTGS‬خْت احطاظ َّیت‬ ‫– تٌْب وبضفطهب هی تَاًس ثِ ثلیٍ ضهعقسُ زؾتطؾی پیسا وٌس.‬ ‫‪ ‬ضهع ًوَزى هحتَای ثلیُْب توبهیت (‪ )Integrity‬ضا فطاّن هیىٌس.‬ ‫‪ ‬اؾتفبزُ اظ هْط ظهبًی )‪ (Timestamp‬زض ثلیُْب آًْب ضا ثطای یه ثبظُ‬ ‫ظهبًی تؼطیف قسُ لبثل اؾتفبزُ هدسز هیىٌس.‬ ‫‪ٌَّ ‬ظ اظ آزضؼ قجىِ ثطای احطاظ َّیت ثْطُ هیگیطز.‬ ‫– چٌساى خبلت ًیؿت ظیطا آزضؼ قجىِ خؼل )‪ (Spoof‬هیكَز.‬ ‫– ثب ایي حبل، زضخِ ای اظ اهٌیت هْیب هی قَز‬
  33. 33. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ًمبٌ يؼف زیبلَي 1‬ ‫‪ ‬هكىل ظهبى اػتجبض ثلیُْب:‬ ‫– ظهبى وَتبُ : ًیبظ ثِ زضذَاؾت ّبی ظیبز گصضٍاغُ‬ ‫– ظهبى ثلٌس : ذُط حولِ تىطاض‬ ‫‪َّ ‬یت قٌبؾی یىؿَیِ : ػسم احطاظ َّیت وبضگعاض تَؾٍ‬ ‫وبضفطهب‬ ‫– ضؾیسى زضذَاؾت ّب ثِ یه وبضگعاضغیطهدبظ‬
  34. 34. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ثلیٍ ‪TGS‬‬ ‫تمامی با‬ ‫‪TGS‬کلید‬‫رمس شدٌ اود‬ ‫ولیس خلؿِ‬ ‫قٌبؾِ‬ ‫هْط ظهبًی‬ ‫ثیي وبضفطهب‬ ‫وبضفطهب‬ ‫آزضؼ‬ ‫قٌبؾِ‬ ‫ٍ‬ ‫ٍ‬ ‫وبضفطهب‬ ‫‪TGS‬‬ ‫زٍضُ اػتجبض‬ ‫‪TGS‬‬ ‫ثلیٍ‬
  35. 35. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ًتبیح ایي هطحلِ ثطای وبضفطهب‬ ‫‪ ‬ثسؾت آٍضزى اهي ثلیٍ «اػُبء ثلیٍ» اظ ‪AS‬‬ ‫‪ ‬ثسؾت آٍضزى ظهبى اًمًبی ثلیٍ(2‪)TS‬‬ ‫‪ ‬ثسؾت آٍضزى ولیس خلؿِ اهي ثیي وبضفطهب ٍ ‪TGS‬‬
  36. 36. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ HMAC ‫نیدهام-شرودر‬ KERBEROS ‫کلید‬ ‫کلید عمومی‬ »‫ثسؾت آٍضزى ثلیٍ «اػُبء ذسهبت‬ KTGS (A , K s ), B , K s (t ) 3. 4. K s (B , K AB ), K B (A , K AB ) Server Client TicketServer= EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4] AuthenticatorClient= EKClient,tgs[IDClient|AddrClient|TS3]
  37. 37. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ثلیٍ وبضگعاض‬‫تمامی با کلید‬‫کارگزار رمز‬ ‫شده اند‬ ‫ولیس خلؿِ‬ ‫قٌبؾِ‬ ‫هْط ظهبًی‬ ‫ثیي وبضفطهب‬ ‫وبضفطهب‬ ‫آزضؼ‬ ‫قٌبؾِ‬ ‫ٍ‬ ‫ٍ‬ ‫وبضفطهب‬ ‫‪TGS‬‬ ‫زٍضُ اػتجبض‬ ‫وبضگعاض‬ ‫ثلیٍ‬
  38. 38. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫اػتجبض ًبهِ وبضفطهب‬‫تمامی با کلید‬ ‫جلسه رمز‬ ‫شده اند‬ ‫شناسه‬ ‫مهر زمانی‬ ‫کارفرما‬ ‫آدرس‬ ‫کارفرما‬
  39. 39. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫ًتبیح ایي هطحلِ ثطای وبضفطهب‬ ‫‪‬خلَگیطی اظ حولِ تىطاض ثب اؾتفبزُ اظ یه اػتجبض‬ ‫ًبهِ (‪ )Authenticator‬یىجبض ههطف وِ ػوط‬ ‫وَتبّی زاضز.‬ ‫‪‬ثسؾت آٍضزى ولیس خلؿِ ثطای اضتجبٌ ثب ؾطٍض‬
  40. 40. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫زؾتیبثی ثِ ذسهبت ؾطٍض‬ ‫) ‪5. K B (A , K AB ), K AB (t‬‬ ‫)1 ‪6. K AB (t ‬‬ ‫‪Client‬‬ ‫‪Server‬‬
  41. 41. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫يؼف ّبی ‪Kerberos‬‬ ‫‪‬ثِ ذُط افتبزى ؾطٍیؽ گط هؼتوس هطوعی، ظیبى ثبض اؾت‬ ‫ظیطا اى همبزیط ؾطی ََیل الوست وبضثطاى ضا ًگْساضی‬ ‫هی وٌس. وطثطٍؼ ًؿجت ثِ حوالت ٍاغُ ًبهِ ای ثطای‬ ‫حسؼ گصض ٍاغُ ّب آؾیت پصیط اؾت.‬ ‫‪‬وطثطٍؼ ؾطٍیؽ ّبی ػسم اًىبض ضا فطاّن ًوی وٌس.‬ ‫(اهًبّبی ضلوی)‬
  42. 42. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫5‪Kerberos V‬‬ ‫زض ایي ًؿرِ ّط ثلیٍ نبزضُ تَؾٍ ؾطٍیؽ زٌّسُ ‪ TGS‬زاضای‬ ‫هحتَیبت ظیط اؾت:‬ ‫‪ ‬قٌبؾِ وبضثطی‬ ‫‪ً ‬بم ًوبزیي ؾطٍیؽ زٌّسُ‬ ‫‪ ‬آزضؼ هبقیي هكتطی‬ ‫‪ ‬ولیس ًكت‬ ‫‪ ‬ظهبى اػتجبض ثلیٍ‬ ‫‪ ‬هْط ظهبى‬
  43. 43. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫هعیت ّبی 5‪Kerberos V‬‬ ‫‪ ‬ثطای ایٌىِ وطثطٍؼ لبثلیت گؿتطـ زض ؾُح قجىِ ّبی ثؿیبض‬ ‫ثعضي ضا زاقتِ ثبقس ؾؼی قسُ وِ ول قجىِ ثِ نَضت ؾلؿلِ‬‫هطاتجی زض لبلت چٌسیي للوطٍ ثطای ذَزـ یه ؾطٍیؽ زٌّسُ‬ ‫‪ TGS ٍ AS‬زاضزوِ ثبض وبضثطاى للوطٍ ذَز ضا ثِ زٍـ هیىكس.‬‫‪ ‬ثطای تَنیف زازُ ّب اظ ًوبز گصاضی 1.‪ ASN‬اؾتفبزُ قسُ‬‫اؾت ٍ ؾؼی قسُ ٍاثؿتگی ثِ ‪ DES‬اظ ثیي ثطٍزٍ اهىبى‬ ‫ضهعًگبضی هتمبضى زض ؾیؿتن ٍخَز زاقتِ ثبقس.‬ ‫‪ ‬وبضایی ایي ًؿرِ ثب 000082وبضثط آظهبیف قسُ ٍ ثِ اثجبت‬ ‫ضؾیسُ اؾت.‬
  44. 44. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫احطاظ َّیت ثب اؾتفبزُ اظ ضهعًگبضی ولیس ػوَهی‬‫‪ّ ‬ط گبُ زض قجىِ ای ثتَاى ولیسّبی ػوَهی افطاز ضا ثِ ضٍقی اهي‬‫ثسؾت آٍضز هی تَاى احطاظ َّیت ضا ثِ ضٍقی ؾبزُ تط هجتٌی ثط‬ ‫ضهعًگبضی ػوَهی پیبزُ ؾبظی وطز.‬‫‪ ‬ثطای اػوبل ایي ضٍـ هی تَاى اظ نسٍض گَاّیٌبهِ زیدیتبل‬ ‫905.‪ ٍ X‬ؾیؿتن ‪ PKI‬اؾتفبزُ وطز.‬
  45. 45. ‫مرکس توزیع‬ ‫رمسنگاری‬‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬ ‫کلید‬ ‫کلید عمومی‬ ‫آلیس‬ ‫سريیس دَىدٌ تًزیع‬ ‫باب‬ ‫کلید عمًمی‬ ‫‪A‬‬ ‫‪B‬‬ ‫تمبيبی زضیبفت ولیس ػوَهی ثبة ‪EB‬‬ ‫دریافت کلید عمًمی یا گًاَیىامٍ باب‬ ‫3‬ ‫) ‪EB ( A, RA‬‬ ‫4تمبيبی زضیبفت ولیس ػوَهی آلیؽ ‪E A‬‬ ‫5 زضیبفت ولیس ػوَهی آیب گَاّیٌبهِ لیؽ‬ ‫) ‪EA ( RA , RB , K S‬‬ ‫7‬ ‫) ‪K S ( RB‬‬ ‫آغبظ ًكؿت‬‫ظهبى‬ ‫ظهبى‬
  46. 46. ‫ًتیدِ گیطی‬‫زض توبم ضٍـ ّبی هؼطفی قسُ اظ ضایح تطیي هىبًیعم‬‫ّبی هَضز اؾتفبزُ زض قجىِ ّبی وبهپیَتطی ٍ‬‫تدبضت الىتطًٍیه تطویجی اظ 5 ‪ٍ Kerberos‬‬‫اؾتفبزُ اظ ولیسّبی ػوَهی(ًبهتمبضى) هبًٌس ‪RSA‬‬‫اؾت وِ اهٌیت ضٍـ 5 ‪ Kerberos‬ضا ثِ ََض‬ ‫قبیبًی افعایف هی زّس.‬
  47. 47. ‫هقذهِ‬‫ﮀفظ اهٌیت تجاست الکتشًٍیک دس هیاى تَسعِ دٌّذگاى سایتّا اص اّویت ٍیظُای تشخَسداس‬ ‫‪‬‬‫است ٍ ایي اهش دس گشٍ دفع آسیةپزیشی سایتّا ٍ هقاتلِ دقیق ٍ غﮁیﭿ تا تْذیذات ‪WEB‬‬ ‫‪ّAPPLICATION‬است.‬‫تسیاسی اص ﮀولِّا دس سغﭿ تشًاهِ غَست هیگیشد ٍ یکی اص هْنتشیي آًْا ‪SQL‬‬ ‫‪‬‬ ‫‪ INJECTION‬است. دس ایي ًَع ﮀولِ پایگاُ دادُ سایت هَسد ﮀولِ قشاس هیگیشد.‬‫ایي ﮀولِ دس تسیاسی اص هَاقع تشای جعل َّیت فشد ٍ دستیاتی تِ دادُ ّا تِ ضکل غیش هجاص‬ ‫‪‬‬ ‫تِ کاس هی سٍد.‬‫اٍلیي تاس ﮀولِ ‪ SQL PIGGYBACKING‬یا ‪ SQL INJECTION‬دس اٍاخش سال‬ ‫‪‬‬ ‫8991 هغشﭾ ضذ.‬ ‫عثق تشسسیّایی کِ اص سال 2002 تا 7002 اًجام ضذ ًطاى داد کِ تیص اص 01 دسغذ اص‬ ‫‪‬‬ ‫کل آسیةپزیشیّا هشتَط تِ ‪SQL INJECTION‬تَدُ ٍ 02 دسغذ اص ایي‬ ‫آسیةپزیشیّا هشتَط تِ اعتثاسسٌجی دادُّاست.‬ ‫عثق تشسسیّای اخیش 61 دسغذ اص ٍبسایتّا دس هقاتل ایي ﮀولِ آسیةپزیشًذ.‬ ‫‪‬‬
  48. 48. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫1-تخص ثثت نام و ویرایص اطالعات‬
  49. 49. ‫قسوتّای آسیةپزیش سایتّای تجاست الکتشًٍیک‬ ‫1-تخص ثثت نام و ویرایص اطالعات‬‫‪ ‬هکانیسن حوله:دستکاسی ٍسٍدی کاستشاى،‪ Second Order Injection‬تا استفادُ اص ایي هکاًیسن‬ ‫هیتَاى تا ثثت ًام یک کاستش تِ سٍشّای خاظ دس ایي قسوت تعضی اص هﮁذٍدیتّایی کِ تشًاهِ‬ ‫ًَیس اعوال هیکٌذ سا دٍس صد.‬‫‪ ‬هذف حوله: تطخیع پاساهتشّای تضسیق،تعشیف ضوای تاًک اعالعاتی،اضافِ یا تعشیف دادُ،گزس کشدى‬ ‫اص اﮀشاص َّیت،اجشای دستَسات‬ ‫‪ ‬نوونههایی از حوالت: ‪،Union Query, Piggy Backed Query‬تَاتع ٍ..‬ ‫‪ ‬روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي،‪ Lock Down‬دس ‪،Sql Server‬‬‫استفادُ اص عثاستّای آهادُ ، ساصگاسی پیغام خغاّا، استفادُ اص ‪ّStore Procedure‬ا، اعتثاسسٌجی‬ ‫ٍسٍدیّا، اتػاالت تا کوتشیي ﮀق دستشسی‬ ‫‪‬‬
  50. 50. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫2-ورود اعضا‬
  51. 51. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫2-ورود اعضا‬ ‫‪ ‬هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى،‪Second Order Injection‬‬ ‫‪ ‬هذف: تطخیع پاساهتشّای تضسیق،‪، performing database fingerprinting‬تعشیف‬‫ضوای پایگاُ دادُ،‪ ، Extracting Data‬اضافِ یا دستکاسی دادُّا، ‪performing denial‬‬‫‪Executed ، By passing authentication ،avoiding detection ، of service‬‬ ‫‪remote command‬‬ ‫‪ ‬نوونههایی از حوالت: ّوِی ﮀولِّا سا هیتَاًذ تِ کاس تشدُ ضَد تِ خػَظ ﮀولِّای‬ ‫استفادُ اص استٌتاج‬ ‫‪ ‬روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي، ساصگاسی پیغام خغاّا،‬ ‫استفادُ اص ‪ّStore Procedure‬ا، اعتثاسسٌجی ٍسٍدیّا ،‪، Escaping Table Name‬‬ ‫عذم دستشسی تِ فایلّای سیستوی، اتػاالت تا کوتشیي ﮀق دستشسی‬
  52. 52. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬‫3- تعاهل تا تانک صاحة حساب، وارد کردى اطالعات‬ ‫حساب‬
  53. 53. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫3- تعاهل تا تانک صاحة حساب، وارد کردى اطالعات حساب‬ ‫‪ ‬هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى،‪Second Order Injection‬‬ ‫‪ ‬هذف حوله: تطخیع پاساهتشّای تضسیق،تعشیف ضوای تاًک اعالعاتی،اضافِ یا تعشیف‬ ‫دادُ،گزس کشدى اص اﮀشاص َّیت،اجشای دستَسات ‪ Remotes‬دٍسی اص تطخیع‬ ‫‪ ‬نوونههایی از حوالت:‪،Union Query, Piggy Backed Query‬تَاتع‬ ‫و..‪Illegal/Logically Incorrect Queries‬‬ ‫‪ ‬روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي، ساصگاسی پیغام خغاّا،‬‫اعتثاسسٌجی ٍسٍدیّا ،‪Lock Down ، Escaping Table Name‬دس ‪، Sql Server‬‬ ‫استفادُ اص عثاستّای آهادُ‬
  54. 54. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫4- کوکی‬
  55. 55. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫4-کوکی‬ ‫‪ ‬هکانیسن حوله: ﮀولِ تِ کَکیّا اگش اعالعات فشد دسٍى آىّا رخیشُ گشد.‬ ‫‪ ‬هذف حوله :‪،Performing Privilege Escalation‬گزس کشدى اﮀشاص‬ ‫َّیتّا، تذست آٍسدى هقذاس دادُّا‬ ‫‪ ‬نوونههایی از حوالت: ‪piggy backed query, tautology‬‬‫‪ ‬روشهای هقاتله: اعتثاسسٌجی ٍسٍدیّا ، ‪ Lock Down‬دس ‪، Sql Server‬‬ ‫استفادُ اص عثاستّای آهادُ ، اتػاالت تا کوتشیي ﮀق دستشسی‬
  56. 56. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫5-‪URL‬‬
  57. 57. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫5-‪URL‬‬ ‫‪ ‬هکانیسن حوله: ًفَر تِ هتغیشّای سشٍس‬ ‫‪ ‬هذف حوله: جْت فْویذى ٍسطى تاًک ،ًَع تاًک ،ضوای تاًک،تطخیع پاساهتشّای‬ ‫تضسیق،تذست آٍسدى هقذاس دادُّا، ‪Performing Denial Of Service‬‬ ‫‪ ‬نوونههایی از حوالت: ,‪Legal/Logically ،Union Query, Tautology‬‬ ‫‪ ،Piggy Back Query ،Incorrect Queries‬استفادُ اص ٍقفِّای صهاًی‬‫‪ ‬روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي، ساصگاسی پیغام خغاّا،‬ ‫اعتثاسسٌجی ٍسٍدیّا ،‪ ، Escaping Table Name‬عذم دستشسی تِ فایلّای‬ ‫سیستوی،استفادُ اص عثاستّای آهادُ‬
  58. 58. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫6- اًتخاب کاال ٍ سثذ خشیذ‬
  59. 59. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫6- اًتخاب کاال ٍ سثذ خشیذ‬ ‫‪ ‬هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى‬‫‪ ‬هذف: اضافِ ٍ تغییش دستَسات،اجشای دستَسات ‪،Remote‬تطخیع پاساهتشّای‬ ‫تضسیق‬ ‫‪ ‬نوونههایی از حوالت: ‪ّUnion Query‬ا،تَاتع ،‪ّStore Procedure‬ا‬ ‫‪ ‬روشهای هقاتله: ساصگاسی پیغام خغاّا، اعتثاسسٌجی ٍسٍدیّا ، ‪Escaping‬‬‫‪ ،Table Name‬استفادُ اص عثاستّای آهادُ، استفادُ اص ‪ّStore Procedure‬ا‬
  60. 60. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬‫7- پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث‬ ‫پیراهوى هوضوع، پیام خصوصی‬
  61. 61. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫7- پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث پیراهوى هوضوع، پیام‬ ‫خصوصی‬ ‫‪ ‬هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى‬ ‫‪ ‬هذف حوله: اضافِ ٍ تغییش دادُّا،اجشای دستَسات‪Remote‬‬ ‫‪ ‬نوونههایی از حوالت: تَاتع ٍ ‪ّStore Procedure‬ا‬‫‪ ‬روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي،‪ Lock Down‬دس ‪Sql‬‬ ‫‪ ،Server‬استفادُ اص عثاستّای آهادُ ، ساصگاسی پیغام خغاّا، استفادُ اص ‪Store‬‬ ‫‪ّProcedure‬ا، اعتثاسسٌجی ٍسٍدیّا، اتػاالت تا کوتشیي ﮀق دستشسی‬
  62. 62. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫8- جستجوی کاال‬
  63. 63. ‫قسوتّای آسیةپزیش سایتّای تجاست‬ ‫الکتشًٍیک‬ ‫8- جستجوی کاال‬ ‫‪ ‬هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى‬‫‪ ‬هذف حوله: تذست آٍسدى ضوای تاًک،تذست آٍسدى هقذاس دادُّا، ‪Performing Denial‬‬ ‫‪Of Service‬‬ ‫‪ ‬نوونههایی از حوالت: تَاتع ٍ ‪ّStore Procedure‬ا‬ ‫‪ ‬روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي،‪ Lock Down‬در ‪Sql‬‬ ‫‪ ،Server‬استفادُ اص عثاستّای آهادُ ، ساصگاسی پیغام خغاّا، استفادُ اص ‪Store‬‬ ‫‪ّProcedure‬ا، اعتثاسسٌجی ٍسٍدیّا، اتػاالت تا کوتشیي ﮀق دستشسی‬
  64. 64. ‫اسائِی هذلی جْت هقاتلِ تا ‪Sql Injection‬‬
  65. 65. ‫اسائِی هذلی جْت هقاتلِ تا ‪Sql Injection‬‬ ‫1-هذیریت پایگاه داده‬ ‫‪ ‬قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي‬ ‫‪ Lock Down ‬دس ‪Sql Serve‬‬ ‫2- اتصال ته پایگاه داده‬ ‫‪ ‬استفادُ اص عثاستّای آهادُ‬ ‫‪ ‬ساصگاسی پیغام خغاّا‬ ‫‪ ‬استفادُ اص ‪ّStore Procedure‬ا.‬ ‫3- ترناهه نویسی ترناهه وب تجارت الکترونیک‬ ‫‪ ‬اتػاالت تا کوتشیي ﮀق دستشسی‬ ‫‪ ‬عذم دستشسی تِ فایلّای سیستوی‬ ‫‪ ‬غیش فعال کشدى ‪Adhoc‬‬ ‫‪ ‬اعتثاسسٌجی ٍسٍدیّا‬ ‫‪Escaping Table Name ‬‬ ‫‪ ‬هذیشیت سغﭿ دستشسیّا تِ پایگاُ دادُ‬
  66. 66. ‫تَغیِ ّایی تِ هذیشاى سایت‬ ‫‪ ‬اعویٌاى ﮀاغل کٌٌذ کِ ّیﭻگًَِ آسیةپزیشی ‪ً Sql Injection‬ذاسًذ؛ ﭼشا کِ ﮀتی اگش تواهی‬ ‫هطکالت سا ضٌاسایی کـشدُ ٍ دس جْـت سفـع آى اقـذام کٌٌذ، هطـکالت جذیـذ سٍصتـِسٍص دس ﮀـال‬ ‫ایجـاد ّسـتٌذ.‬ ‫‪ ‬تـشای جلـَگیشی اص ‪ Sql Injection‬خـَب اسـت کـِ اص گـضاسشّـای پـاساهتشی ضـذُ استفادُ‬ ‫ضَد.‬ ‫‪ّ ‬وﭽٌیي تَغیِ هیضَد تا تِ پشٍتکلْای جذیذ سیستنّای پشداخت الکتشًٍیک آضٌا تاضٌذ ٍ‬ ‫پشٍتکلْای هَسد استفادُ خَد سا تِ سٍص کٌٌذ.‬ ‫‪ ‬دس ضوي تایذ اص اهٌیت پشتال پشداخت تاًک اعوییٌاى کاهل داضت.‬‫‪ ‬عالٍُ تش آى آضٌایی تا قَاًیي ﮀقَقی هیتَاًذ دس تسیاسی اص هَاسد خساستّای اﮀتوالی ًاضی اص ﮀولِ‬ ‫سا جثشاى کٌذ.‬ ‫‪ّ ‬وﭽٌیي تسیاس هْن است کِ ‪ Security Fix‬تِسٍص تاضد.‬ ‫‪ ‬فیلتشّای دیَاسآتص سا تشای تالک کشدى تشافیکّـای غیشضـشٍسی دٍس اص کٌتشل، پیکشتٌذی ٍ تست‬ ‫ضَد. ایيکاس ًِتٌْا تاعﺚ هیضَد کِ تاًک ّای اعالعاتی تیطـتش اهـي ضـًَذ تلکـِ .‬ ‫تاعﺚ هـیضًَذ کل ضثکِ اهي گشدد‬ ‫‪ ‬استفادُ اص اتضاسّای هتفاٍت تشای تطخیع ًقاط آسیةپزیش سایت است. تِ عٌَاى هثال: ‪Sqlbrute‬‬ ‫(ًقاط آسیةپزیش دس تشاتش ﮀوالت کَسکَساًِ سا تطخیع هیدّذ)، ‪Acunetix Web‬‬
  67. 67. ‫ًتیجِ‬ ‫هثاﮀﺚ هشتَط تِ تشقشاسی اهٌیت دس دًیای هجاصی تِ خػَظ سایتّای تجاست‬ ‫‪‬‬ ‫الکتشًٍیک اص اّویت ٍیظُای تشخَسداسًذ، تِعَسیکِ تایذ کلیِ اهکاًات قاًًَی ٍ‬ ‫ﮀقَقی دس کٌاس اهکاًات فٌی تِکاس گشفتِ ضَد تا اص جشاین هجاصی جلَگیشی ضَد.‬ ‫تسیاسی اص ًفَرّایی کِ تِ یک ‪ Web Application‬هیضَد ًاضی اص ًقع،‬ ‫‪‬‬ ‫ﮀفشُّای تشًاهًَِیسی ٍ ضعف تاًک اعالعاتی هیتاضذ.‬‫دس سالْای اخیش هْوتشیي ﮀوالت تِ پایگاُ دادُ هخػَغا دس هَسد سایتْا تا قاتلیت‬ ‫‪‬‬ ‫پشداخت الکتشًٍیک ٍ کاستْای کشیذیت‬‫تِ کاس گیشی الگَسیتن ‪ Kerberos‬تِ دلیل تِ کاسگیشی تلیظ تاعﺚ هی ضَد تشًاهِ‬ ‫‪‬‬ ‫کاستشدی دس هقاتل ‪ sql Injection‬هقاٍم ضَد .‬
  68. 68. ‫هٌبثغ‬• Roger Needham, Michael Burrows , Martin Abadi ; A logical of Authentication; ACM Transaction on computer System , Vol.8,No.1• Andrews . Tanenbaum , Computer Networks, Fourth Edition,2003• Matthew Strebe, Foundation Network Security,2004• Kachakil D, 2009, Sfx-SQLi (Select For Xml SQL Injection)• Thomas S , Williams L, Xie T, 2008, On Automated Prepared Statement Generation To Remove SQL Injection Vulnerabilities, Information And Software Technology ,• Chris A , 2002,Advanced SQL Injection, An Ngssoftware Insight Security Research(Nisr) Publication• Halfond W, Viegas J, Orso A,2006,A Classification of SQL Injection• Mitropoulos D, Spinellis D, 2008, Sdriver: Location-Specific Signatures Prevent SQLInjection Attacks, Compute R S & S E C U R I T Y Xx X ( 2 0 0 8).• Malware Detection, 2007,Chapter2,Halfond W And Orso A,”Detection And Prevention Of SQL Injection Attacks”, Springer Us, Volume 27, Isbn978-0-387- 32720-4 (Print) 978-0-387-44599-1 (Online)

×