ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
بياندازد. خطراين داده از تمام دفاع هاي شبكه شركت،به همان صورت كه از شبكه هاي عادي عبورميكند، عبور خواهد كرد و مانند ترافيك معمولي وب به نظر مي رسد.اثر گسترش زياد برنامه هاي كاربردي اين است كه محيط امنيتي يك سازمان جابجا شده است. بخشياز محيط همچنان در ديوارهاي آتش وميزبانهاي مستحكم قرار دارد.اما بخش قابل توجهي از آناكنون توسط برنامه هاي كاربردي تحت وب شركت اشغال شده است. به علت راه هاي گوناگون دريافتداده هاي كاربر در برنامه هاي كاربردي و انتقال آن به سيستم هاي جانبي حساس، اين برنامه ها دروازههاي بالقوه اي براي محدوده وسيعي از حمله ها هستند، و دفاع در مقابل اين حمله ها بايد در خود اينبرنامه ها پياده سازي شود.تنها يك خط كد ناقص در تنها يك برنامه كاربردي مي تواند سيستم هايداخلي شركت را آسيب پذير كند.بايد توجه داشت كه هدف گرفتن يك شركت، دست يابي به شبكه يا اجراي دستورهاي دلخواه بر رويسرويس دهنده ها ممكن است واقعا آن چيزي نباشد كه مورد نظر مهاجم است.معمولا، چيزي كهمهاجم واقعا مي خواهد،انجام برخي كارها در سطح برنامه كاربردي ماننددزديدن اطلاعات شخصي،انتقال پول يا انجام خريدهاي ارزان است. و تغيير مكان محيط امنيتي به لايه برنامه كاربردي مي تواندبه مهاجم براي رسيدن به اين اهداف كمك زيادي بكند.براي مثال، فرض كنيد يك مهاجم مي خواهد به يك سيستم بانكي نفوذ كرده و پول را از حساببدزدد. كاربرانقبل از آنكه بانك برنامه هاي كاربردي را گسترش دهد، مهاجم مي بايست يك آسيبDMZ 1پذيري دريك سرويسعموميپيدا كند، از آن براي به دست اوردنبانك استفاده كرده، ازديوار آتشي كه دسترسي به سيستم هاي داخلي آن را محدود مي كند عبور كند، نقشه شبكه را بكشدتا كامپيوتر اصلي را پيدا كند، پروتكل محرمانه اي كه براي دسترسي به آن به كار مي رود را رمزگشاييكند، و سپساعتبارنامه هاييرا براي ورود به سيستم حدس بزند.با اين حال، اگر بانك از يك برنامه1 De-Militarized Zone32