SEOSERVISE - Защита информации.

 
   
 

Главная


 


Введение Вспомните, что Web -приложение состоит из различных компонентов, в том числе Web -сервера, сервера приложения и сервера баз данных. Для глубокого понимания рисков нарушения безопасности, присущих каждому из этих компонентов, необходи­ мо проанализировать роль и функциональные возможности каждого из них. В этой главе рассматриваются методы идентификации и классификации всех ресурсов и тех­ нологий, используемых в Web -приложении. Web -ресурсы — это объекты, доступные броузерам через протокол HTTP или HTTP поверх SSL . Web -ресурсом может быть статический HTML -файл, программа, автоматически генерирующая HTML -код, или аплет, выполняемый в клиентской час­ти приложения. Некоторые из этих ресурсов и основные принципы их использования рассматриваются в этой главе. Приведенный материал поможет разобраться в логике Web -хакера, а также в том, как с его точки зрения выглядит Web -приложение. Для понимания принципов хакинга в Web необходимо учитывать сильную концеп­туальную связь между Web -ресурсами и их назначением. Определенной Web -странице или ресурсу всегда соответствует цель, для достижения которой они предназначены. Глубокое понимание цели и ее представление в терминах обеспечения безопасности позволяют снизить уязвимость Web - pecypca как на этапе его проектирования, так и в процессе реализации. Например, Web - pecypc , предназначенный для размещения дан­ ных cookie на клиентском компьютере, и Web - pecypc , предоставляющий клиенту форму для ввода данных и передачи запросов на сервер, преследуют разные цели. Первый ресурс предназначен для установки пользовательского сеанса при размеще­ нии данных cookie , а второй — для получения данных от пользователя и формирова­ ния запроса к базе данных. Следовательно, первый ресурс связан с управлением сеан­ сами, а второй — с интерфейсом базы данных. В результате системный аналитик мо­ жет классифицировать все ресурсы по их функциональному назначению. Процесс анализа набора Web -ресурсов, определения взаимосвязей между каждым Web - ресурсом и его функциональным назначением, и в конечном счете получение полного представления об используемых компонентах в контексте функциональных групп — все это называется анализом связей ( linkage analysis ). Такой анализ позволяет удостове­ риться в том, что существует определенный ресурс, предназначенный для выполнения конкретной функции.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |