Объяснение уязвимостей безопасности с реками и сторонами

1656675129 obyasnenie uyazvimostej bezopasnosti s rekami i storonami

Андреа Занин

qnoYvN2KWQ1xhEszadE8PAuTg9FKPoAcbY1G

Изучать уязвимость системы безопасности может быть скучно. Но вам все равно нужно их изучить, если только вы не хотите, чтобы какой-нибудь хакер удалил все ваши рабочие базы данных. Чтобы сделать это немного более интересным, я попытался объяснить 3 основные уязвимости с точки зрения повседневной жизни. Итак, не мешкая, начнем.

Атака «человек посередине».

Когда вы открываете веб-сайт, вы подключаетесь к серверу. Вы можете представить себе эту связь как реку, а данные (например, твиты в Twitter) – это сообщения в бутылках, плывущих по реке.

Если Алекс (сервер) хочет выслать вам приглашение на ужин, он должен поместить его в бутылку и отправить по потоку. Но что, если Джон (злоумышленник) достанет бутылку из реки и сменит сообщение на оскорбление, а затем положит ее обратно в реку? Вы не сможете распознать, что сообщение, которое вы получили, отправлено не Alex!

Это называется a Атака «человек посередине»..

Чтобы устранить эту проблему, вы и Алекс можете решить, что вы будете писать свои сообщения, изменяя порядок символов. Например, секретное сообщение становится egassem terces.

Джон не знает метод вы генерировали секретный код, поэтому он не может понять, что написано в сообщении или изменить то, что в нем написано, незаметно для вас.

Это то, что HTTPS протокол делает только с помощью более модного метода.

DoS и DDoS

Еще один способ просмотра сервера – это домашняя папка «Входящие». Вы получаете письма, читаете их и отвечаете.

Что, если Джон начнет писать тебе кучу писем? Вы не сможете вовремя ответить на приглашение Алекса на ужин, потому что будете слишком заняты ответом на все остальные спам-сообщения, отправленные Джоном.

Это называется a Атака типа «отказ в обслуживании».кратко DoS.

Способ смягчить это – прочесть отправителя поверх письма перед его открытием. Если это Джон, то не беспокойтесь открывать почту. Таким образом вам не нужно будет отвечать Джону, и вы сможете сосредоточиться на рассмотрении серьезных вещей, таких как приглашение Алекса на ужин.

Это есть Черный список IP в двух словах, только по адресам Интернет-протокола цифрового отправителя.

К сожалению, Джон убедил многих других злых людей отправлять вам спам. Теперь вы не можете просто отбросить письма Джона, потому что вам пишет много людей.

Это Распределенный отказ в обслуживании (DDoS) и с этим очень тяжело справиться.

Один из способов решить эту проблему – получать почту только от Алекса. К сожалению, другие ваши друзья не смогут написать вам, потому что вы также отвергнете их электронные письма. Но отчаянные времена требуют отчаянных мер. Но постепенно вы можете увеличить количество законных людей, от которых вы хотите получать письма.

Это называется Белый список IP-адресов и может использоваться для смягчения влияния DDoS-атаки, но это не идеальное решение.

С DDoS-атаками трудно бороться, к счастью, их тоже трудно организовать, потому что вам нужно много людей, которые вам помогают. Но учитывая, что злоумышленники используют уязвимые устройства IOT, неправильно настроенные серверы и DDoS-сервисы для осуществления DDoS-атак, запускать такие атаки становится очень легко.

Инъекционный

Предположим, Алексей решил устроить вечеринку с друзьями. Он подготовил шаблон приглашения:

В следующую субботу я устраиваю вечеринку, хочешь прийти? Если возможно, принесите немного [blank space left for food item here].
Том

Он также решил принять предложения по еде и оставил ящик предложений в школьной столовой. Затем он бездумно скопировал одно предложение с поля в пустом месте, оставленном по каждому приглашению.

Это были предложения:

  • кокс
  • чипсы
  • паста
  • апельсины. Я тоже хотел сказать тебе, что Год тупой

Вы видите, что здесь происходит? Друг Тома получит это сообщение

В следующую субботу я устраиваю вечеринку, хочешь прийти? Если возможно, возьмите немного апельсинов. Я тоже хотел сказать тебе, что Год тупой.
Том

Друг Тома подумает, что все сообщения написал Том, включая часть о Рике! Парень, оставивший предложение по еде (я думаю, мы знаем его имя), просто вводят сообщения в приглашении Алекса.

Избегать инъекция все вместе просто подтверждают (на техническом жаргоне Бегство) то, что вы принимаете от пользователя, если оно не поступает из надежного источника.

Перед отъездом

Если вас зовут Джон, я должен перед вами извинениями, но оставайтесь, я обещаю, что в следующей статье вы будете хорошим.

Надеюсь, вам понравилась статья. Не забывайте, что вы можете? до 50 раз!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *