ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
4.3. خلاصه فصل:حملات عليه برنامه هاي كاربردي تحت وب و وبسايتها در دو مرحله شناسايي و پيدا كردن آسيبپذيري ها انجام مي شود.شناسايي برنامه كاربردي تحت وب يا يك وب سايت اهميت بسيار زياديدارد. در حاليكه شروع حمله مستقيما از مرحله پيدا كردن آسيب پذيري ها بسيار لذت بخش تر به نظرمي رسد، اما احتمال پيدا كردن آسيب پذيري را نيز بسيار پايين مي آورد. عمليات شناسايي به صورتخودكار و دستي انجام مي گيرد چرا كه هنوز هيچ ابزاري توانايي جستجوي كامل را ندارد.براي پيدا كردن آسيب پذيري هادر دو حالت جعبه سياه و جعبه سفيد بايد به بررسي هدف پرداخت.هر كدام از اين مراحل نيز به صورت خودكار و دستي انجام مي گيرد.براي خواندن كدهاي يك زبانخاص، براي پيدا كردن آسيب پذيري، بايد به دستورات آن زبان آشنايي داشته باشيم و به صورتساختار يافته به دنبال آسيب پذيري ها بگرديم.اكثر برنامه نويسان حاضر نيستند در حالي كه برنامههايشان به خوبي كار خود را انجام مي دهند، كدهاي برنامه هايشان را دوباره مطالعه كنند و اينچيزيست كه مهاجمان از آن بهره مي برند..5.3منابع فصل:1. Stuttard Dafydd, Pinto Marcus, "The Web Application Hacker's HandbookDiscovering and <strong>Exploit</strong>ing <strong>Security</strong> Flaws", Wiley Publishing Inc., 20082. Open Web Application <strong>Security</strong> Project, http://www.owasp.org3. Http://www.bugreport.ir4. Http://www.securityfocus.com5. Http://www.milw0rm.com104