ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
- تمامي ارتباطات روي سرويس دهنده هايي كه با مشتريان كارت هاي اعتباري سر و كار1دارند هم اكنون بايد طبق قانون امن باشند: به همين دليل تمامي كاربران، كارمندان و مديران اينسيستم ها بايد از ارتباطات امن استفاده كنند.- يكي از روش هاي مقابله با استراق سمع هاي مستقيم، استفاده كردن از نام هاي نامربوطSSLبراي فرستادن اطلاعات به سرويس دهنده است:سايت هايي كه ازهم استفاده مي كنندمي توانند هدف استراق سمع با SSL هاي جعلي قرار بگيرند و اگر كاربر اعتبار SSL را نديده بگيرد،به راحتي در معرض اين حمله قرار مي گيرد.از آنجايي كه در نتيجه استراق سمع هاي شبكه معمولااطلاعات بسيار زيادي به دست مي آيد، نفوذگران معمولا به دنبال مقادير رشته هاي پركاربرد نظيرو مانند آنها در بسته هاي HTTPمي گردند و ازUserID ،Username،Passwd،Passwordباقي صرف نظر مي كنند. همچنين اگر مهاجمان سايت خاصي را هدف گرفته باشند، نام مقادير ارساليآن را به ابزار هاي خود مي دهند تا مقادير ارسالي را از بين بسته ها پيدا كند. حال اگر برنامه كاربرديتحت وب از نام هايي براي ارسال مقادير خود استفاده كند كه با هر بار بازتازه كردن صفحه تغيير كنندو معناي خاصي نيز نداشته باشند (مثلq12ee22كاربران خود را از حملات مستقيم استراق سمع مصون بدارد.به جاي فيلد ،(Username مي تواند تا حد زيادي.10.2.4روش مقابله با:Failure to Restrict URL Accessبايد زمان بگذاريد و ماتريسي از دسترسي هاي اشخاص يا نقش ها به توابع يا فايل هاي برنامه كاربرديتحت وب تهيه كنيد، چرا كه اين يك قدم كليدي براي رفع اين آسيب پذيريست. برنامه كاربردي تحتوب بايد دسترسي ها را با هريا اجرا شدن توابع، بررسي كند.صحيح نيست كه كنترل هايURL1 PCI Data <strong>Security</strong> Standard v1.1122