ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
براي مقابله با اين آسيب پذيري علاوه بر بررسي برنامه با ابزاري مانند ،OW<strong>ASP</strong>’s WebScarabبايد از روش هاي زير استفاده كرد:مطمئن شويد تمام گروه توسعه دهندگان نرم افزار درمواجههبا خطاها، از يك روش-مشترك استفاده مي كنند.غيرفعال يا محدود كردن جزئيات رفع اشكال:مخصوصا اطلاعات اشكال زدايي و نشانه هاي-1پشته و اطلاعات مسير فايل ها، نبايد به كاربر نهايي نشان داده شوند.- مطمئن شويد كه مسيرهاي امن كه كارهاي مختلفي مي كنند، پيغام هاي خطاي مساوي يامشابه و در زمان مساوي نشان دهند: براي نمونه در صورت درست نبودن چه نام كاربري و چه رمزعبور پيغام"The username or password is not correct"-را نشان دهد. همچنين اگر پياده-سازي ميزان زمان مساوي مقدور نيست، سعي كنيد از يك زمان تصادفي براي انجام همه تبادلاتاستفاده كنيد تا مهاجم اطلاعات خاصي از طريق مقدار زمان، دريافت نكند.براي تمامي لايه هاي اجرايي بايد نشان دادن جزئيات خطا غير فعال باشد: براي نمونه اگر ازو MSSQLIIS استفاده مي كنيد، بايد هر دو را طوري تنظيم كنيد كه جزئيات خطا را نمايشندهند.- ساخت يك صفحه كه در موقع رخ دادن همه نوع خطا آن را نمايش دهد:بدين صورت ديگرمهاجم نمي تواند از رخ دادن خطا اطلاع دقيق كسب كند و بيشتر برنامه هاي خودكار در تشخيص خطامتوقف خواهند شد. براي نمونه مهاجم ديگر نمي تواند بفهمد كه يك فايل خاص روي سايت مورد نظروجود دارد يا خير.علاوه بر اينها با اين عمل مي توان خطاي اتفاق افتاده را ثبت كرد تا وقوع حمله ياپتانسيل وقوع حمله آشكار شود.1 Stack traces116