SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


Если ASP -сцснарий Web -сервера (и его всевидящее око) необходимо "обмануть", можно воспользоваться программой Achilles , модифицировать данные cookie и пере­дать этому сценарию большое число. Для этого нужно настроить программу Achilles для использования в качестве proxy -сервера, а затем ввести в броузере адрес целевого узла: 192.168,0.9. На рис. 15.21 показано диалоговое окно программы Achilles . После этого в диалоговом окне Achilles для параметра NumberofVieite нужно задать какое-нибудь большое значение, например 99999999, а затем щелкнуть на кнопке Send (рис. 15.22). ASP -сценарий обработает это огромное число и вернет броузеру информацию, как показано на рис. 15.23. Таким образом, манипулируя данными cookie , можно заставить сервер обработать непредусмотренное значение, которое почти наверняка (при определенных стараниях) будет некорректно обработано. Нетрудно представить, что последствия подобных зло­ употреблений могут оказаться весьма серьезными. Можно задать еще большее значе­ние и попробовать добиться переполнения буфера На рис. t 1 показана схема функционирования стандартного Web -приложения. Не затрагивая пока работу Web -броузера и брандмауэра, рассмотрим функцио­ нальные особенности каждого компонента Web -приложения, помня о том, что они могут находиться как на одном и том же, так и на разных компьютерах Внешний Web - сервер Внешний Web -сервер главным образом отвечает за прием HTTP -запросов от кли­ ентов и отправку им HTTP -ответов. Причем он должен обеспечить обслуживание большого числа параллельных запросов и в то же время эффективно использовать ре­сурсы и поддерживать высокую пропускную способность. Такие серверы достаточно универсальны. Они способны выполнять обработку статических HTML -файлов и не­ которых динамических сценариев, но никоим образом не могут использоваться для обслуживания Web -приложений в целом. Внешний Web -сервер должен обладать следующими функциональными возмож­ ностями. • Масштабируемость и устойчивость. Web -сервер должен допускать расширение возможностей без дополнительных затрат на настройку аппаратных средств и операционной системы. При увеличении нагрузки на сервер потери в произво­ дительности должны быть минимальны. Сервер должен легко восстанавливать­ ся после сбоев, вызванных некорректной работой подкомпонентов или внеш­ них подключенных к нему компонентов. • Устойчивость к общеизвестным атакам. Поскольку внешние Web -серверы яв­ ляются компонентами, которые будут подвергаться атакам в первую очередь, их необходимо защищать от таких общеизвестных изъянов, как переполнение бу­ фера, вставка метасимволов и др

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |