Authentication

1. احراز هویت و مکانیزم های آنفهیمه پارساییدانشجوی رشته تجارت الکترونیکبهمن 89

2. سازوکارهای امنيتي(SecurityMechanism) تائيدهويتauthenticationاجازهauthorizationمميزيauditing

3. احرازهویتروش یا مکانیزمی است که بر اساس آن هر موجودیت (مثل یک پروسه یا شخص) بررسی می کند که آیا شریک او در یک ارتباط (یعنی موجودیت طرف مقابل)، همانی است که ادعا می کند یا یک اخلال گر ثالث است که خود را بجای طرف واقعی جا زده است.جعل و ارسال داده‏های ساختگی

4. احرازهویتچیزی که کاربر بداندرمز عبور متنی، رمز عبور تصویریچیزی که کاربر مالک آن استتوکن‏های امنیتی، کارت‏های هوشمندچیزی که کاربر از نظر بیولوژیک دارداثر انگشت، الگوی شبکه چشم، تشخیص چهره، تشخیص صدا

5. کلمه عبوررایج‏ترین نوع احراز هویت است.مزیتپیاده سازی بسیار سادهمعایبمی توان آن را حدس زد.به آسانی به دیگری داده می شود.یادآوری آن، به ویژه اگر مرتبا استفاده نشود، همیشه آسان نیست.آموزش کاربران

6. توکنتوکن دارای حافظه‏ای برای انجام عملیات رمز‏نگاری و نگهداری گواهی‏های الکترونیکی هستند و با استفاده از ریز تراشه موجود در آن ها و بکارگیری الگوریتم های پیچیده، عملیات رمز نگاری انجام می شودتنها شخصی که دارنده توکن می باشد، می تواند با وارد کردن کلمه عبور توکن به اطلاعات محرمانه دسترسی پیدا کند.

7. بیومتریکاستفاده از خصوصیات فیزیکی اشخاصمزیتغیر قابل دسترسی، گم شدن، فراموشیعیبهزینه‏، نصب، نگهداری

8. احراز هویت بر اساس رویکرد چالش و پاسخ چالش و پاسخ (challenge and Response): یکی از طرفین ، یک عدد یا رشته ای تصادفی تولید وآن را برای طرف مقابل خود می فرستد. طرف مقابل باید تبدیل خاصی را روی آن اعمال کند و نتیجه را برگرداند. به عدد یا رشته ی تصادفی «رشته چالش nonce »گفته می شود.nonceدر محدوده ای بزرگ (حداقل 128 بیت) باشدباید کاملا تصادفی باشد

9. آلیس و باب قبلا در خصوص یک کلید سری و متقارن طبق روشی مطمئن به توافق رسیده اند.این کلید متقارن نامیده می شود. از آنجا که تحت هیچ شرایطی کلید رمز نباید بر روی شبکه منتقل شود لذا آنها برای احراز هویت یکدیگر به رویکرد چالش و پاسخ متوسل می شوند.A معرف آليس B معرف باب R معرف رشته چالش K معرف كليد

10. آلیسبابAB1A2345زمانزمانآغاز نشست

11. نقد و بررسییکی از مشکلات این روش حمله بازتاب است.TBباباخلال گر12345زمانزمانآغاز نشست

12. ABراهکارترکیب روش های فوق امنیت را در برابر حمله بازتاب بالا می برد.طراحی سیستم به گونه ای باشد که به محض مشاهده اطلاعات یک نشست درنشست موازی دیگر، سیستم هر دو نشست را قطع کندطرفین به گونه ای رشته های چالش خود را از مجموعه های متفاوت انتخاب کنند که اممکان جعل هویت نباشد

13. MACيکي از اينHash Function ها MAC است. کاري که MAC ميکند اينست که يک کليد را که secret key است بهمراه يک پيام بعنوان ورودي قبول ميکند و يک خروجي ميدهد بنام Message Authentication Code کد شناسايي هويتي که به آن پيام تعلق دارد و کاربرد اصلي اين تابع اينست که زمانيکه پيامي را براي فردي ارسال ميکنيم آن فرد بتواند از هويت اصلي فرد فرستنده اطمينان حاصل کند و مطمئن شود که فردي پيام را برايش ارسال کرده که آن انتظارش را داشته و ارسال کننده اصلي پيام است.

14. HMAC

15. ABCHMACپیاده سازی این روش در سطح سخت افزار هزینه کم و سرعت بالایی داردبرای دو موجودیت که از طریق یک لینک مستقیم به یکدیگر متصلند ، بسیار مفید است.باید فرض شود که قبلا فرایند شناسایی مقدماتی و مبادله ی شناسه های کاربری صورت گرفته و این مکانیزم صرفا برای اثبات درستی ادعای طرفین است.این الگوریتم با یک روش رمزنگاری متقارن مثل AES یا serpent قابل جایگزین است.D

16. احراز هویت متکی بر مرکز توزیع کلیدفرض کنید خدماتی که یک بانک یا موسسه اعتباری ارائه می کند به شکلی باشد که کاربر حداقل یکبار در یکی از شعب حاضر شود . حساب باز کند و کلید خود را دریافت نماید.

17. KDC(key distributed center) به دلیل حجم زیاد کلید کاربران، این مرکز برای ذخیره و مدیریت کلیدها ایجاد می شود.آلیسبابKDCAB13آغاز نشستزمانزمان

18. نقد وبررسی یکی از خطرات بسیار مهم «حمله تکرار» است. زیرا اخلالگر ثالث می تواند پیام های بین طرفین بدون هیچ فهمی از محتوا استراق سمع کند.

19. ABراهکارترکیب روش های فوق بهترین راه است.

20. رشته های دارای اعتبار زمانی فقط در بافر نگهداری می شوند. به کارگیری «مهر زمان» به منظور تشخیص تازگی پیامدر هر پیام رشته تصادفی nonce باشد و گیرنده با مراجعه به فایل نگهداری سابقه پیام ها، تکراری بودن را بررسی کند.

21. مکانیزم احراز هویت نیدهام-شرودر این پروتکل در سال 1978 توسط راجرز نیدهام و مایکل شرودر معرفی شد .

22. مبتنی بر مفهوم «چالش و پاسخ» است و نیاز به مرکز تولید کلید دارد.آلیسبابKDCAB12345آغاز نشستزمانزمان

23. نقد و بررسی اگر اخلالگر بلیط وکلید نشست را استراق سمع کند. میتواند از مرحله سوم حمله تکرار را آغاز کند.کلید نشست معمولا یک بار مصرف و هر بار تغییر می کنند و عموما افراد و نرم افزار ها در نگهداری آن دقت نمی کنند.

24. KERBEROSپروتکل احراز هویت Kerberos بخشی از پروژه «آتن» در دانشگاه MIT بود که در اصل بر اساس گونه ای از پروتکل «نیدهام- شرودر» بنا نهاده شده است. Kerberos متعلق به اواسط دهه هشتاد است ولی کاربردهای جدی آن در هزاره ی جدید در سیستم های عاملی مثل Windows 2000، Linuxو Solaris صورت واقعیت بخود گرفت. نامKerberos برگزیده از اساطیر یونان باستان است که اشاره به سگی شرزه با سه سر به شکل افعی و یالی شبیه شیر داردو از در دوزخ نگهبانی می کند تا دوزخیان نتوانند از آنجا خارج شوند. وجه مشترک این اسطوره کهن با این پروتکل، آرایشی با سه مؤلفه AS، TGSو Server است که هر کاربر به ترتیب باید از آنها مجوز بگیرد تا قادر به دریافت سرویسی خاص باشد. درافسانه ها هرکول در خوان یازدهم از دوازده خان، کربروس را کشت و سرهای او را نزد اورستیوس برد! کربروس دنیای امنیت را چه کسی سر می برد و آن هرکول کیست؟

25. ويژگيهاي عمومي کربروسعمومي بودن(Common)در محیط توزیع شده همراه با سرورهای متمرکز و غيرمتمركزامنيت (Security)ادعای اصلیاطمينان (Reliability)اطمينان از فعال بودن همه سرویس ها برای کاربران مجاز.شفافيت (Transparency)کاربران بايد سيستم را همانند يک سيستم ساده «شناسه و کلمه عبور»ببينند. مقياس پذيري(Scalability)قابليت كار با تعداد زيادي ماشين كاربر و كارگزار

26. قلمرو کربروسقلمرو کربروس از بخشهاي زير تشكيل شده است:

27. کارگزار کربروس

28. کارفرمایان

29. کارگزاران كاربردي Application Servers

30. کارگزار کربروس گذرواژه تمام کاربران را در پایگاه داده خود دارد.

31. کارگزار کربروس با هر کارگزار كاربردي کلیدی مخفی به اشتراک گذاشته است.

32. معمولاً هر قلمرو معادل یک حوزه مدیریتی میباشد.اصول KERBEROSهرموجودیت متقاضی سرویس بایدهویت خودرا اثبات کندهرسرویس دهنده دارای کلمه عبوراست وتحت ظوابط خاصی سرویس می دهدهر کاربر در اولین مرحله از«ورود به سیستم» فقط هویت خود را اثبات می کند،ولی برای سرویس گرفتن از هر سرویس دهنده باید مجوزهای جداگانه ای اخذ کند

33. آلیسServerASTGSABسرویس دهنده احراز هویتسرویس دهنده صدوربلیطسرویس دهنده شبکه1A23456زمانزمانآغاز نشست

34. بلیط در واقع نوعي گواهي است كه هنگام ورود كاربر به قلمرو کربروس به او داده مي شود كه بيانگر اعتبار او براي دسترسي به منابع شبكه مي باشد.

35. افزایش ایمنیديالوگ 1استفاده از يک کارگزار جديد با نام کارگزار اعطا کننده بليط

36. TGS: Ticket Granting Server

37. کارگزار احراز هويت،AS، کماکان وجود دارد.

38. بليط «اعطاء بليط» ticket-granting ticket توسط آن صادر می شود.

39. اگرچه بليطهای اعطاء خدمات توسط TGS صادر ميشوند.

40. بليط «اعطاء خدمات» service-granting ticket

41. اجتناب از انتقال کلمه عبور با رمز کردن پيام کارگزار احراز هويت (AS)به کارفرما توسط کليد مشتق شده از کلمه عبورافزایش ایمنیديالوگ 1پيامهاي شماره يک و دو به ازاء هر جلسه Log on رد و بدل ميشوند. پيامهاي شماره سه و چهار به ازاء هر نوع خدمات رد و بدل ميشوند.پيام شماره پنج به ازاء هر جلسه خدمات رد و بدل ميشود.Client  AS:IDClient || IDTGSAS  Client:EKClient [TicketTGS]Client  TGS:IDClient || IDServer || TicketTGSTGS  Client:TicketServerClient  Server:IDClient || TicketServer

42. ويژگي هايديالوگ 1دو بليط صادر شده ساختار مشابهی دارند. در اساس به دنبال هدف واحدی هستند.

43. رمزنگاری TicketTGS جهت احراز هویت

44. تنها کارفرما می تواند به بليط رمزشده دسترسی پيدا کند.

45. رمز نمودن محتوای بلیطها تمامیت (Integrity) را فراهم میکند.

46. استفاده از مهر زمانی (Timestamp) در بلیطها آنها را برای یک بازه زمانی تعریف شده قابل استفاده مجدد میکند.

47. هنوز از آدرس شبکه برای احراز هویت بهره میگیرد.

48. چندان جالب نیست زیرا آدرس شبکه جعل (Spoof) میشود.

49. با این حال، درجه ای از امنیت مهیا می شودنقاط ضعف ديالوگ 1مشكل زمان اعتبار بلیطها:

50. زمان كوتاه : نياز به درخواست هاي زياد گذرواژه

51. زمان بلند : خطر حمله تکرار

52. هويت شناسی يکسويه : عدم احراز هويت کارگزارتوسط كارفرما

53. رسيدن درخواست ها به يك کارگزارغيرمجازتمامی با کلید TGS رمز شده اندبلیط TGSکلید جلسه بین کارفرما وTGSشناسهکارفرمامهر زمانی و دوره اعتبار بلیطآدرس کارفرماشناسهTGS

54. نتايج اين مرحله براي كارفرمابدست آوردن امنبليط «اعطاء بليط» از AS

55. بدست آوردن زمان انقضاي بليط(TS2)

57. تمامی با کلید کارگزار رمز شده اندبلیط کارگزارکلید جلسه بین کارفرما وکارگزارشناسهکارفرمامهر زمانی و دوره اعتبار بلیطآدرس کارفرماشناسهTGS

58. تمامی با کلید جلسه رمز شده اندشناسهکارفرمااعتبار نامه کارفرمامهر زمانیآدرس کارفرما

59. نتايج اين مرحله براي كارفرماجلوگيري از حمله تکرار با استفاده از يكاعتبار نامه (Authenticator) يكبار مصرف كه عمر كوتاهي دارد.

60. بدست آوردن كليد جلسه براي ارتباط با سرور5.6.دستيابي به خدمات سرورServerClient

61. ضعف های Kerberosبه خطر افتادن سرویس گر معتمد مرکزی، زیان بار است زیرا ان مقادیر سری طویل المدت کاربران را نگهداری می کند. کربروس نسبت به حملات واژه نامه ای برای حدس گذر واژه ها آسیب پذیر است.

62. کربروس سرویس های عدم انکار را فراهم نمی کند. (امضاهای رقمی)Kerberos V5در این نسخه هر بلیط صادره توسط سرویس دهنده TGS دارای محتویات زیر است:شناسه کاربری

63. نام نمادین سرویس دهنده

64. آدرس ماشین مشتری

65. کلید نشت

66. زمان اعتبار بلیط

67. مهر زمانمزیت های Kerberos V5برای اینکه کربروس قابلیت گسترش در سطح شبکه های بسیار بزرگ را داشته باشد سعی شده که کل شبکه به صورت سلسله مراتبی در قالب چندین قلمرو برای خودش یک سرویس دهنده AS و TGS داردکه بار کاربران قلمرو خود را به دوش میکشد.

68. برای توصیف داده ها از نماد گذاری ASN.1 استفاده شده است و سعی شده وابستگی به DES از بین برودو امکان رمزنگاری متقارن در سیستم وجود داشته باشد.

69. کارایی این نسخه با 280000کاربر آزمایش شده و به اثبات رسیده است.احراز هویت با استفاده از رمزنگاری کلید عمومیهر گاه در شبکه ای بتوان کلیدهای عمومی افراد را به روشی امن بدست آورد می توان احراز هویت را به روشی ساده تر مبتنی بر رمزنگاری عمومی پیاده سازی کرد.

70. برای اعمال این روش می توان از صدور گواهینامه دیجیتال X.509 و سیستم PKI استفاده کرد. آلیسسرویس دهنده توزیع کلید عمومیبابABتقاضای دریافت کلید عمومی باب دریافت کلید عمومی یا گواهینامه باب34تقاضای دریافت کلید عمومی آلیس 5 دریافت کلید عمومی آیا گواهینامه لیس 7آغاز نشستزمانزمان

71. نتیجه گیریدر تمام روش های معرفی شده از رایج ترین مکانیزم های مورد استفاده در شبکه های کامپیوتری و تجارت الکترونیک ترکیبی از Kerberos 5 و استفاده از کلیدهای عمومی(نامتقارن) مانند RSA است که امنیت روش Kerberos 5 را به طور شایانی افزایش می دهد.

72. بررسی حملهInjectionSql و روش مقابله با آن

73. مقدمهحفظ امنیت تجارت الکترونیک در میان توسعه دهندگان سایت‏ها از اهمیت ویژه‏ای برخوردار است و این امر در گرو دفع آسیب‏پذیری سایت‏ها و مقابله دقیق و صحیح با تهدیداتWeb Application‏‏هاست.

74. بسیاری از حمله‏ها در سطح برنامه صورت می‏گیرد و یکی از مهم‏ترین آنها Sql Injection است. در این نوع حمله پایگاه داده سایت مورد حمله قرار می‏گیرد.

75. این حمله در بسیاری از مواقع برای جعل هویت فرد و دستیابی به داده ها به شکل غیر مجاز به کار می رود.

76. اولين بار حمله Sql Piggybackingيا Sql Injection در اواخر سال 1998 مطرح شد.

77. طبق بررسي‌هايي كه از سال 2002 تا 2007 انجام شد نشان داد که بيش از 10 درصد از كل آسيب‌پذيري‌ها مربوط به Sql Injection بوده و 20 درصد از اين آسيب‌پذيري‌ها مربوط به اعتبارسنجي داده‌هاست.

78. طبق بررسي‌هاي اخير 16 درصد از وب‌سايت‌ها در مقابل اين حمله آسيب‌پذيرند.قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک1-بخش ثبت نام و ویرایش اطلاعات

79. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک1-بخش ثبت نام و ویرایش اطلاعاتمکانیسم حمله:دستکاری ورودی کاربران، Second Order Injection با استفاده از این مکانیسم می‏توان با ثبت نام یک کاربر به روش‏های خاص در این قسمت بعضی از محدودیت‏هایی که برنامه نویس اعمال می‏کند را دور زد.

80. هدف حمله: تشخیص پارامتر‏های تزریق،تعریف شمای بانک اطلاعاتی،اضافه یا تعریف داده،گذر کردن از احراز هویت،اجرای دستورات

81. نمونه‏هایی از حملات:Union Query, Piggy Backed Query،توابع و..

82. روش‏های مقابله:قرار دادن يك گرداننده‌ي پايگاه داده‌ي امن، Lock Down در Sql Server، استفاده از عبارت‌هاي آماده ، سازگاري پيغام خطاها، استفاده از Store Procedureها، اعتبارسنجي ورودي‏ها،اتصالات با کمترین حق دسترسیقسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک2-ورود اعضا

83. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک2-ورود اعضامکانیسم حمله: دستکاری ورودی کاربران،Second Order Injection

84. هدف: تشخیص پارامترهای تزریق،performing database fingerprinting،تعریف شمای پایگاه داده،Extracting Data، اضافه یا دستکاری داده‏ها،performing denial of service ،avoiding detection ، By passing authentication ،Executed remote command

85. نمونه‏هایی از حملات: همه‏ی حمله‏ها را می‏تواند به کار برده شود به خصوص حمله‏های استفاده از استنتاج

86. روش‏های مقابله:قرار دادن يك گرداننده‌يپايگاه داده‌ي امن، سازگاري پيغام خطاها، استفاده از Store Procedureها، اعتبارسنجي ورودي‏ها، Escaping Table Name،عدم دسترسی به فایل‏های سیستمی، اتصالات با کمترین حق دسترسیقسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک3- تعامل با بانک صاحب حساب، وارد کردن اطلاعات حساب

87. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک3- تعامل با بانک صاحب حساب، وارد کردن اطلاعات حسابمکانیسم حمله: دستکاری ورودی کاربران،Second Order Injection

88. هدف حمله: تشخیص پارامتر‏های تزریق،تعریف شمای بانک اطلاعاتی،اضافه یا تعریف داده،گذر کردن از احراز هویت،اجرای دستورات Remotes دوری از تشخیص

89. نمونه‏هایی از حملات:Union Query, Piggy Backed Query،توابع و..Illegal/Logically Incorrect Queries

90. روش‏های مقابله:قرار دادن يك گرداننده‌ي پايگاه داده‌ي امن، سازگاري پيغام خطاها، اعتبارسنجي ورودي‏ها ،Escaping Table Name،Lock Downدر SqlServer ، استفاده از عبارت‌هاي آمادهقسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک4-کوکی

91. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک4-کوکیمکانیسم حمله: حمله به کوکی‏ها اگر اطلاعات فرد درون آن‏ها ذخیره گرد.

92. هدف حملهPerforming Privilege Escalation:،گذر کردن احراز هویت‏ها، بدست آوردن مقدار داده‏ها

93. نمونه‏هایی از حملاتpiggy backed query, tautology :

94. روش‏های مقابله: اعتبارسنجي ورودي‏ها ،Lock Downدر Sql Server، استفاده از عبارت‌هاي آماده ، اتصالات با کمترین حق دسترسیقسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک5-URL

95. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک5-URLمکانیسم حمله: نفوذ به متغیرهای سرور

96. هدف حمله: جهت فهمیدن ورژن بانک ،نوع بانک ،شمای بانک،تشخیص پارامترهای تزریق،بدست آوردن مقدار داده‏ها، Performing DenialOf Service

97. نمونه‏هایی از حملات:Union Query, Tautology,، Legal/Logically Incorrect Queries،Piggy Back Query ، استفاده از وقفه‏های زمانی

98. روش‏های مقابله:قرار دادن يك گرداننده‌يپايگاه داده‌ي امن، سازگاري پيغام خطاها، اعتبارسنجي ورودي‏ها ،Escaping Table Name،عدم دسترسی به فایل‏های سیستمی،استفاده از عبارت‏های آمادهقسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک6- انتخاب کالا و سبد خرید

99. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک6- انتخاب کالا و سبد خریدمکانیسم حمله: دستکاری ورودی کاربران

100. هدف: اضافه و تغییر دستورات،اجرای دستورات Remote،تشخیص پارامترهای تزریق

101. نمونه‏هایی از حملات: Union Query‏ها،توابع ،Store Procedure‏ها

102. روش‏های مقابله: سازگاري پيغام خطاها، اعتبارسنجي ورودي‏ها ،Escaping Table Name،استفاده از عبارت‏های آماده، استفاده از Store Procedureهاقسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک7- پیشنهاد قیمت، قراردادن کامنت، تماس با ما، بحث پیرامونموضوع، پیام خصوصی

103. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک7- پیشنهاد قیمت، قراردادن کامنت، تماس با ما، بحث پیرامونموضوع، پیام خصوصیمکانیسم حمله: دستکاری ورودی کاربران

104. هدف حمله: اضافه و تغییر داده‏ها،اجرای دستوراتRemote

105. نمونه‏هایی از حملات: توابع و Store Procedure‏ها

106. روش‏های مقابله:قرار دادن يك گرداننده‌ي پايگاه داده‌ي امن،Lock Down در Sql Server، استفاده از عبارت‌هاي آماده ، سازگاري پيغام خطاها، استفاده از Store Procedureها، اعتبارسنجي ورودي‏ها،اتصالات با کمترین حق دسترسیقسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک8- جستجوی کالا

107. قسمت‏های آسیب‏پذیر سایت‏های تجارت الکترونیک8- جستجوی کالامکانیسم حمله: دستکاری ورودی کاربران

108. هدف حمله: بدست آوردن شمای بانک،بدست آوردن مقدار داده‏ها،Performing Denial Of Service

109. نمونه‏هایی از حملات: توابع و Store Procedure‏ها

110. روش‏های مقابله:قرار دادن يك گرداننده‌ي پايگاه داده‌ي امن،Lock Down در Sql Server، استفاده از عبارت‌هاي آماده ، سازگاري پيغام خطاها، استفاده از Store Procedureها، اعتبارسنجي ورودي‏ها،اتصالات با کمترین حق دسترسیارائه‏ی مدلی جهت مقابله باInjection Sql

111. ارائه‏ی مدلی جهت مقابله باInjection Sql1-مدیریت پایگاه دادهقرار دادن يك گرداننده‌يپايگاه داده‌ي امن

112. Lock Down در Sql Serve2- اتصال به پایگاه داده استفاده از عبارت‌هاي آماده

113. سازگاري پيغام خطاها

114. استفاده از Store Procedureها.3- برنامه نویسی برنامه وب تجارت الکترونیکاتصالات با کمترین حق دسترسی

115. عدم دسترسی به فایل‏های سیستمی

116. غیر فعال کردنAdhoc

117. اعتبارسنجي ورودی‏ها

118. Escaping Table Name

119. مدیریت سطح دسترسی‏ها به پایگاه دادهﺗﻮﺻﯿﻪ ﻫﺎيي به مديران سايتاﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ كنند ﮐﻪ ﻫﯿﭻﮔﻮﻧﻪ آﺳﯿﺐﭘﺬﯾﺮي ‪ Sql Injectionﻧﺪارند؛ ﭼﺮا ﮐﻪ ﺣﺘﯽ اﮔﺮ ﺗﻤﺎﻣﯽ ﻣﺸﮑﻼت را ﺷﻨﺎﺳﺎﯾﯽ ﮐـﺮده و در ﺟﻬـﺖ رﻓـﻊ آن اﻗـﺪام کنند، ﻣﺸـﮑﻼت ‫ﺟﺪﯾـﺪ روزﺑـﻪروز در ﺣـﺎل اﯾﺠـﺎد ﻫﺴـﺘﻨﺪ.

120. ﺑـﺮاي ﺟﻠـﻮﮔﯿﺮي از ‪Sql Injectionﺧـﻮب اﺳـﺖ ﮐـﻪ از ﮔـﺰارشﻫـﺎي ﭘـﺎراﻣﺘﺮي ﺷـﺪه اﺳﺘﻔﺎده شود.

121. همچنین توصیه می‏شود تا به پروتکلهای جدید سیستم‏های پرداخت الکترونیک آشنا باشند و پروتکلهای مورد استفاده خود را به روز کنند.

122. در ضمن باید از امنیت پرتال پرداخت بانک اطمیینان کامل داشت.

123. علاوه بر آن آشنایی با قوانین حقوقی می‏تواند در بسیاری از موارد خسارت‏های احتمالی ناشی از حمله را جبران کند.

124. ﻫﻤﭽﻨﯿﻦ ﺑﺴﯿﺎر ﻣﻬﻢ اﺳﺖ ﮐﻪ ‪ Security Fixبه‏روز ﺑﺎﺷد.

125. ﻓﯿﻠﺘﺮﻫﺎي دﯾﻮارآﺗﺶ را ﺑﺮاي ﺑﻼک ﮐﺮدن ﺗﺮاﻓﯿﮏﻫـﺎي ﻏﯿﺮﺿـﺮوري دور از کنترل، ﭘﯿﮑﺮﺑﻨﺪي و ﺗﺴﺖ شود. اﯾﻦﮐﺎر ﻧﻪﺗﻨﻬﺎ ﺑﺎﻋﺚ ﻣﯽﺷﻮد ﮐﻪ ﺑﺎﻧﮏ ﻫﺎي اﻃﻼﻋﺎﺗﯽ ﺑﯿﺸـﺘﺮ اﻣـﻦ ﺷـﻮﻧﺪ ﺑﻠﮑـﻪ .ﺑﺎعث ﻣـﯽﺷﻮﻧﺪ ﮐﻞ ﺷﺒﮑﻪ اﻣﻦ ﮔﺮدداستفاده از ابزارهاي متفاوت براي تشخيص نقاط آسيب‏پذير سايت است. به عنوان مثال:Sqlbrute (نقاط آسيب‏پذير در برابر حملات كوركورانه را تشخيص مي‏دهد)،Acunetix Web نتیجهمباحث مربوط به برقراری امنیت در دنیای مجازی به خصوص سایت‏های تجارت الکترونیک از اهمیت ویژه‏ای برخوردارند، به‏طوريكه بايد كليه امكانات قانوني و حقوقي در كنار امكانات فني به‏كار گرفته شود تا از جرايم مجازي جلوگيري شود.

126. بسیاری از نفوذهایی که به یک Web Application می‏شود ناشی از نقص، حفره‍هاي برنامه‏نويسي و ضعف بانک اطلاعاتی می‏باشد.

127. در سالهای اخیر مهمترین حملات به پایگاه داده مخصوصا در مورد سایتها با قابلیت پرداخت الکترونیک و کارتهای کریدیت

128. به كار گيري الگوريتم Kerberos به دليل به كارگيري بليط باعث مي شود برنامه كاربردي در مقابل sql Injection مقاوم شود . منابعRoger Needham, Michael Burrows , Martin Abadi ; A logical of Authentication; ACM Transaction on computer System , Vol.8,No.1

129. Andrews . Tanenbaum , Computer Networks, Fourth Edition,2003

130. Matthew Strebe, Foundation Network Security,2004

131. Kachakil D, 2009, Sfx-SQLi (Select For Xml SQL Injection)

132. Thomas S , Williams L, Xie T, 2008, On Automated Prepared Statement Generation To Remove SQL Injection Vulnerabilities, Information And Software Technology ,

133. Chris A , 2002,Advanced SQL Injection, An Ngssoftware Insight Security Research (Nisr) Publication

134. Halfond W, Viegas J, Orso A,2006,A Classification of SQL Injection

135. Mitropoulos D, Spinellis D, 2008, Sdriver: Location-Specific Signatures Prevent SQL Injection Attacks, Compute R S & S E C U R I T Y Xx X ( 2 0 0 8).

136. Malware Detection, 2007,Chapter2,Halfond W And OrsoA,”Detection And Prevention Of SQL Injection Attacks”, Springer Us, Volume 27, Isbn978-0-387-32720-4 (Print) 978-0-387-44599-1 (Online)

Authentication

More Related Content

Similar to Authentication (20)

Authentication