2.2.2.2 Một số biện pháp bảo mật khắc phụcChỉ nên sử dụng biến ẩn của dịch - 2.2.2.2 Một số biện pháp bảo mật khắc phụcChỉ nên sử dụng biến ẩn của Anh làm thế nào để nói

2.2.2.2 Một số biện pháp bảo mật kh

2.2.2.2 Một số biện pháp bảo mật khắc phục
Chỉ nên sử dụng biến ẩn của form để hiển thị dữ liệu trên trình duyệt, không được sử dụng giá trị của biến để thao tác trong xử lí ứng dụng.
 Ví dụ: như khi ta up ảnh lên một trang web và thiết kế khi người dùng chọn ảnh nhỏ thì bức ảnh sẽ nhỏ lại còn khi người dùng chọn kích cỡ to thì bức ảnh sẽ to lên đây chính là mục đích của các biến ẩn trong form.
Ghép tên và giá trị của biến ẩn thành một chuỗi đơn. Sử dụng thuật toán mã hoá MD5 hoặc một hàm băm để tổng hợp chuỗi đó và lưu nó vào một trường ẩn gọi là “Chuỗi mẫu”. Khi giá trị trong form được gửi đi, các thao tác như trên được thực hiện lại với cùng một khoá mà ta định trước. Sau đó đem so sánh với “Chuỗi mẫu”, nếu chúng không khớp nhau thì chứng tỏ giá trị trong biểu mẫu đã bị thay đổi.
Dùng một Session ID để tham chiếu đến thông tin được lưu trữ trên cơ sở dữ liệu.
2.2.3 Thao tác với Cookie
2.2.3.1 Kỹ thuật tấn công
Cookie là thành phần lưu trữ thông tin bảo mật nhất nên Cookie thường được dùng để lưu trữ trạng thái cho giao thức HTTP. Nó còn dùng được dùng để lưu thông tin của người dùng khi sử dụng ứng dụng và những dữ liệu khác của Session. Tất cả các loại Cookie đều có thể bị thay đổi trong quá trình truyền từ người sử dụng đến máy chủ web. Do đó Hacker có thể thay đổi nội dung Cookie nhằm phá hoại ứng dụng web hay nhằm một mục tiêu nào đấy. Ví dụ sau sẽ trình bày cách thay đổi một Cookie.
 Ví dụ: Cookie lưu trữ thông tin về tài khoản gởi tiền ngân hàng.
Cookie: lang=en-us; ADMIN=no; y=1; time=8:30GMT;
Cookie xác định người dùng này không phải là Admin, nhưng nếu Hacker thay đổi trường ADMIN này thì sao ?. Như vậy thì Hacker sẽ có quyền quản trị trên trang web hay ứng dụng web này với sự thay đổi sau:
Cookie: lang=en-us; ADMIN=yes; y=1; time=15:30GMT;
2.2.3.2 Một số biện pháp bảo mật khắc phục
Sử dụng thông tin đối tượng Session lưu trữ thông tin quan trọng trên máy chủ. Khi ứng dụng cần kiểm tra thông tin một người dùng, ứng dụng sẽ dùng Session ID của người dùng để chỉ đến thông tin của người dùng trong cơ sở dữ liệu.
Xây dựng một cơ chế kiểm tra nội dung của Cookie để tìm ra giá trị không hợp lệ từ đó biết được Cookie đó là giả.
 Ví du: Nếu biến cờ “người quản trị” được thiết lập đúng trong Cookie, nhưng giá trị của số thứ tự người dùng trong Cookie không giống với số thứ tự của “người quản trị” được lưu trữ trên máy chủ.
Mã hóa Cookie để khi các tâp tin Cookie có bị lọt vào tay của Hacker thì cũng không thể đọc được nội dung bên trong vì chúng đã được mã hóa nếu muốn đọc được thì bắt buộc Hacker phải giải mã, giải mã thì có thể sẽ ra nhưng vấn đề ở đây là trong thời gian bao lâu. Với cách này cũng làm khó khăn hơn trong việc đánh cắp thông tin của người dùng.
2.3 CHIẾM HỮU PHIÊN LÀM VIỆC
2.3.1 Ấn định phiên làm việc (Session Fixation)
2.3.1.1 Kỹ thuật tấn công
Là kỹ thuật tấn công cho phép Hacker mạo danh người dùng hợp lệ bằng cách gởi một Session ID hợp lệ đến người dùng, sau khi người dùng đăng nhập vào hệ thống thành công, Hacker sẽ dùng lại Session ID đó, nghiễn nhiên trở thành người dùng hợp lệ và khai thác thông tin hay với mục đích nào đó tại máy chủ.
Ví dụ: Attacker muốn chiếm được phiên làm việc của người dùng nào đấy đang sử dụng tài khoản ngân hàng.
(1) và (2) bước này Attacker sẽ thiết lập một phiên làm việc hợp lệ với máy chủ bằng cách đăng nhập tài khoản của mình vào. Như vậy đã có một phiên làm việc hợp lệ từ máy chủ ngân hàng.
(3) Sau khi đã đăng kí một phiên làm việc hợp lệ xong, Attacker mới gởi một email hay bằng mọi cách buộc người dùng phải click chuột vào đường dẫn với ID phiên làm việc của Attacker thì khi click vào đường đẫn đấy nó sẽ chuyển hướng đến máy chủ ngân hàng và yêu cầu nhập tài khoản, mật khẩu vào như bước (4).
(5) Như vậy người dùng đã đăng nhập vào máy chủ của trang web ngân hàng với ID phiên làm việc là do Attacker ấn định trước. ID phiên của Attacker và ID phiên của người dùng thực chất là một.
(6) Attacker đăng nhập vào trang web ngân hàng bằng tài khoản của người dùng và thực hiện được các ý đồ như Attacker muốn.
Với kỹ thuật này thì Attacker có thể dễ dàng qua mặt được các máy chủ mặt dù đã kiểm tra ID phiên làm việc.
0/5000
Từ: -
Sang: -
Kết quả (Anh) 1: [Sao chép]
Sao chép!
2.2.2.2 some security measures to overcomeUse only the hidden variables of the form to display the data on a browser, do not use the value of the variable to manipulate in processing applications.  example: like when we're up photos to a site and design as users select small pictures, the photos will have little time to select the size to the photograph will to up this is exactly the purpose of hidden variables in form.Pair of names and values of the hidden variables into a single string. Use MD5 encryption algorithm or a hash function to sum up that string and saves it to a hidden field called "sample String". When the value in the form has been submitted, the manipulation as is done with the same tags that we plan ahead. Then compared to "sample String", if they do not match each other, demonstrating the value of the form has been changed.Use a Session ID to refer to information stored on the database.2.2.3 manipulating Cookies2.2.3.1 attack techniquesThe cookie is stored for security information so the Cookie is used to store the State for the HTTP protocol. It is used to store user information when using the application and the data Session. All types of Cookies can be changed during transmission from the user to the web server. So the Hacker can modify Cookie contents to undermine web application or to a goal would do. The following example will demonstrate how to change a Cookie. example: Cookies store information about bank transfer account.Cookies: lang = en-us; ADMIN = no; y = 1; time = 8: 30GMT;Cookies identify the user not Admin, but if Hackers changed the ADMIN field this?. So then the Hacker will have administrative rights on the web site or web application with the following changes:Cookies: lang = en-us; ADMIN = yes; y = 1; time = 15: 30GMT;2.2.3.2 some security measures to overcomeUse the information to Session object to store information on the server. When the application should check the information to a user, the application will use the Session ID of the user to refer to the user's information in the database.Build a mechanism to check the contents of the cookies to find out the invalid value from which the learned cookies it is fake.  for example, if the variable "Administrator" flag is set to true in the Cookie, but the value of the sequence number in the user's Cookies are not the same number of "Administrator" is hosted on the server.Encrypting cookies to the Cookie files have been placed in the hands of Hackers, you can't read the content inside as they are coded to read the mandatory Hacker to decrypt, decrypt it will probably out but the issue here is how long in time. With this way also makes more difficult to steal the user's information.2.3 POSSESSION SESSION2.3.1 fixing session (Session Fixation)2.3.1.1 attack techniquesThe attack technique that allows the Hacker to impersonate a valid user by passing a valid Session ID to the user, after users log on to the system is successful, the Hacker will reuse the Session ID, the Yanshan County became valid and user information or for the purpose of something in the server.For example, the Attacker wants to capture the user's session that is using your bank account.(1) and (2) this step Attacker would establish a valid session with the server by logging in to your account on. So there was a valid session from your banker.(3) after you have registered a valid session is complete, the Attacker sent a new email or in any way forces the user to click on the link with the Attacker's session ID when click on the incentive that it would redirect to the banking server and asked for the password to your account, such as step (4).(5) that the user has logged on to the site's server Bank with session ID is by Attacker 2. The session ID of the user's session ID and the Attacker is a.(6) the Attacker to log into the website by bank account of user and perform the Italy map as Attacker wants.With this technique, the Attacker can easily past the server even checked the session ID.
đang được dịch, vui lòng đợi..
Kết quả (Anh) 2:[Sao chép]
Sao chép!
2.2.2.2 A number of security measures to overcome
only use hidden form variable to display data on the browser, not the value of the variable used to manipulate the application processor.
 For example, as when we up photos to a site and design when the user selects the picture thumbnail will be small even if the user chooses to, the picture size is magnified this purpose in the form of hidden variables.
Pairing names and values ​​of hidden variables into a single string. Use MD5 encryption algorithm or a hash function to synthesize the string and save it to a hidden field called "chain model". When the value of the form is sent, the above operation is performed again with the same course we set before. Then compared with "String template", if they do not match, it proves the value of the form was changed.
Using a Session ID to refer to information stored on the database.
2.2. 3 Manipulating Cookies
2.2.3.1 Technical attacks
storage components Cookie is the most secure information should Cookies are generally used to store state for the HTTP protocol. It is also used for storing user information when using the application and other data of the Session. All types of cookies can be altered during transmission from the user to the web server. Therefore Hacker can change content to sabotage Cookie Web application or to a certain goal. The following example shows how to change a Cookie.
 Example: Cookies store information on bank deposit accounts.
Cookie: lang = en-us; ADMIN = no; y = 1; time = 8: 30GMT,
Cookie identifies the user is not the administrator, but if Hacker changes ADMIN school about this?. Thus, the hacker will have administrative rights on the site or web application with the following changes:
Cookie: lang = en-us; ADMIN = yes; y = 1; time = 15: 30GMT;
2.2.3.2 Some security measures to overcome
information Use the Session object store important information on your server. When the application needs to check the information a user, the application will use the Session ID of the user to refer to the user's information in the database.
Develop a mechanism to check the contents of the cookie to find the price Invalid value from it knowing it's fake cookie.
 For example: If the variable flags "administrator" is set right in the cookie, but the value of the order is not the same user in the cookie with the serial number of "administrator" is stored on the server.
Encrypting cookie to the cookies have been falling into the hands of hackers, it also can not read the contents inside as they are encrypted if you want to read, then arrested Hacker forced to decipher, decode, it may be out but the problem here is in how long. In this way also makes it more difficult to steal the user's information.
2.3 WORKING SESSION POSSESSION
2.3.1 Assign session (Session Fixation)
2.3.1.1 Technical attacked
As attack techniques allow Hacker impersonate legitimate users by sending a valid Session ID to the user, after the user has logged into the system successfully, the Session ID Hacker will use this feature, the user automatically become a valid and exploitation information or for any purpose at the server.
For example: Attacker wants captured session certain users are using bank accounts.
(1) and (2) This step will establish a session Attacker Invalid work with servers by logging into your account. Thus there was a valid session from the bank server.
(3) After you have registered a valid session is complete, the new Attacker an email or send in any way to force users to click on the link with ID Attacker session, when clicking on the links that it will redirect to a server bank account and asked to enter a password to as step (4).
(5) Thus the user has logged on site's server bank with the session ID is fixed in advance by the attacker. Attacker session ID and session ID of the user actually is one.
(6) Attacker log on bank websites with user account and to fulfill the intentions as Attacker want.
With this technique, the attacker easily surpassed the server side checked whether the session ID.
đang được dịch, vui lòng đợi..
 
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.

Copyright ©2025 I Love Translation. All reserved.

E-mail: