net sec / q&a / attacks

net sec / q&a / attacks

سؤال ها :
1-    تفاوت عمده ی XSS و CSRF را توضیح دهید؟
2-    SQL injection را به اختصار توضیح دهید؟
3-    Session fixtion را توضیح دهید؟
4-    یک راه برای جلوگیری از حملات sql injection‌ معرفی کنید؟
5-    تفاوت session fixtion‌ و session hijacking  را در زمان حمله بگویید؟
جواب ها :
1-    در XSS نفوذگر از اعتماد کاربر به یک سایت سوءاستفاده می کند. به این ترتیب که با استفاده از یک سایت آسیب پذیر دستورات خود را بر روی سیستم قربانی اجرا می کند. اما در CSRF از اعتماد سایت به کاربر سوءاستفاده می شود. به این ترتیب که نفوذگر از اختیارات یک کاربر عضو سایت سوءاستفاده کرده و اقدامات مورد نظر خود را انجام میدهد.
2-    اساس کار در این حملات استفاده از فرم ها و فرستادن کدهایی به پایگاه داده و نفوذ به آن می باشد. در این روش نفوذگر از عدم فیلتر ورودی فرم ها سوءاستفاده کرده و کدهای دلخواه را در فرم وارد می کند و تغییرات مورد نظر را در پایگاه داده انجام میدهد.
3-    در یک حمله ی session fixtaion‌ نفوذگر قبل از اینکه قربانی وارد سرور مقصد شود session id او را ثبت می کند. به این ترتیب که خود به عنوان یک کاربر مجاز وارد سیستم می شود و بعد از ثبت شدن session id برای خودش، آنرا به قربانی میفرستد و با فریب دادن وی،‌ او را وادار به کلیک بر روی آن و ورود به سایت می کند. به این ترتیب نفوذگر به طور کامل به اطلاعات قربانی در آن سایت دسترسی دارد.
4-    استفاده از توابعی مانند match یا htmlentities‌ که باعث می شود کاربر نتواند هر مقداری را در فرم ها وارد کند و مثلا کاراکترهایی مانند ">" و "." فیلتر شوند.
5-    در session fixtion نفوذگر قبل از اینکه کاربر وارد سرور مقصد شود به مرورگر او حمله می کند اما در session hijacking‌ این حمله بعد از ورود کاربر به سرور مقصد انجام می شود.
/ 0 نظر / 3 بازدید