ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
.9.3.2آسيب پذيري:Insecure Communicationsاغلب برنامه هاي كاربردي تحت وب براي ارتباطات حساس در قسمت رمزنگاري (معمولا (SSL ضعيف(SSLعمل مي كنند.رمزنگاري(معمولابايد براي تمامي ارتباطات معتبر و حساس، به خصوص درصفحات وب كه از طريق اينترنت قابل دسترسي هستند و در ارتباطات سرويس دهنده ها باهم انجامشود. عدم رمزنگاري ارتباطات حساس بدين معناست كه مهاجم مي تواند اطلاعات را در حين رد و بدلشدن رصد كند و داده هاي محرمانه را به دست بياورد. البته بايد در نظر داشت كه شبكه هاي مختلفدر اين موضوع با هم تفاوت دارند و ممكن است كمتر يا بيشتر مستعد اين حمله باشند.با اين حال،مهم آن است كه بدانيم معمولا در اغلب شبكه ها پيش مي آيد كه يك كامپيوتر مورد نفوذ قرار بگيرد واز آنجا مهاجمان سعي در جمع آوري اطلاعات شبكه و شنود داده هاي رد و بدل شده بنمايند.بايد توجه داشت كه استفاده از SSL براي ارتباطات با كاربران نهايي ضروري است، هرچند كه كاربرانناآگاه دوست دارند از شبكه هاي غير امن كه سرعت بيشتر و پيچيدگي كمتري به دليل نداشتنرمزنگاري دارند استفاده كنند.رمزنگاري ارتباطات خود سرويس دهنده ها با هم نيز در پشت صحنه مهم است چرا كه به دليل فضاييكه با هم ارتباط دارند داده هايي كه باهم رد و بدل مي كنند حساس تر و گسترده تر بوده و در نتيجهاز اهميت بيشتري نيز برخوردار اند.يك نمونه معمول اين برنامه هاي آسيب پذير آنهايي هستند كه به صفحات امن به صورت غير امن نيزمي توان دسترسي داشت و برنامه كاربردي ارتباط را تبديل به يك ارتباط امن نمي كند. براي مثال درهنگام ورود به سيستم لزوم استفاده ازHTTPS 1 را جدي نمي گيرند و اگر كاربري به جاي1 Hypertext Transfer Protocol over Secure Socket Layer55