طراحی و پیاده سازی ابزاری جهت تشخیص و جلوگیری از حملات تزریق کور sql
پایان نامه
- وزارت علوم، تحقیقات و فناوری - دانشگاه اصفهان - دانشکده فنی و مهندسی
- نویسنده مجتبی مصطفوی
- استاد راهنما احمد براآنی
- تعداد صفحات: ۱۵ صفحه ی اول
- سال انتشار 1389
چکیده
طی سالهای اخیر « حملات تزریق sql » یکی از تهدیدهای جدی برای برنامه های کاربردی وب که به نوعی پایگاه-داده ای را به خدمت گیرند، به حساب می آیند. این نوع از حملات اینترنتی، sql ناخواسته را از طریق یک پارامتر ورودی، به پایگاه داده تزریق می کنند. نوع خاصی از این حملات، «حملات تزریق کور sql» نامیده می شوند؛ حملاتی از نوع تزریق sql که بدون هیچ پیامی از سمت پایگاه داده انجام می پذیرند، که روش معرفی شده در این پایان نامه ویژه این نوع از حملات است. اغلب ابزارهایی که در این باره ساخته شده است، مربوط به حملات تزریق عادی sql هستند. برای مثال نرم افزار scrawlr که توسط شرکت معروف اچ پی جهت بررسی و پویش صفحات اینترنتی در مقابل انواع آسیب های تزریق sql تولید شده است، از حملات تزریق کور sql پشتیبانی نمی کند. به هر حال راه های مختلفی برای جلوگیری از نفوذ حملات تزریق sql به پایگاه داده معرفی شده است که همگی در سمت سرویس دهنده قابل انجام است و با کدهای کاربرد وب و یا کدهای پرس وجوی پایگاه داده سر و کار دارند. در این پایان نامه یک روش جدید برای جلوگیری از حملات تزریق معرفی شده است که با درخواست هایی که کاربر به سمت سرویس دهنده ارسال می کند سر و کار دارد. به این صورت که با تشخیص این که کاربر در حال ارسال یک sql ناخواسته و تزریق آن به پایگاه داده است از ارسال آن به برنامه های کاربرد وب جلوگیری می شود. از آنجا که درخواست مشتری به سمت سرویس دهنده در نقطه خروجی از سمت مشتری و ورودی از سمت سرویس دهنده قابل دسترسی است، امکان پیاده سازی این روش در هر دو یک از این نقاط بررسی می گردد. ابتدا این روش در سمت مشتری و با استفاده از کدهای جاوااسکریپت پیاده سازی شده است؛ کدهایی که در قالب یک فایل با فرمت js نوشته شده اند و به هر صفحه ای که احتمال تزریق کور در مورد آن وجود دارد شناسانده می شوند. به این صورت که در آن صفحه html در نقاطی از نوار آدرس یا فرم ها که مستعد تزریق اند، به دنبال یکی از ساختارهای تزریق کور sql می گردد و در صورت یافتن، مقدار آن پارامتر را از بین می برد. این راه حل در پایان نامه، برای دو متد post و get به صورت جداگانه بررسی می شود و راه هایی نو برای مقابله با ترفندهای نفوذگر برای خنثی نمودن ابزار، در این دو متد بیان می گردد. سپس به بیان محدودیت ها و نقاط ضعف این نوع پیاده سازی پرداخته شده و پیاده سازی آن در سمت سرویس دهنده شرح داده خواهد شد. به این صورت که کدها در قالب یک فایل php نوشته شده و به صفحاتی که در آنها پارامترهای متد ارسال چک می شود اضافه می گردد و در صورت کشف حمله، از ادامه پردازش فایل جلوگیری نموده و مسیر درخواستی مشتری را تغییر می دهد. در نهایت این کدها بر روی سایتی که با کدهای phpnuke طراحی شده است، تست و نتایج مورد انتظار در مورد جلوگیری از حملات تزریق کور sql بر متغیرهای ارسالی این سایت، دریافت شده است.
منابع مشابه
طراحی، پیاده سازی و اجرای حملات تزریق کدهای sql و بررسی راهکارهای مقابله با آن
در این پایان نامه ضمن تمرکز بیشتر روی موضوع حملات تزریق راهکار های عملی حملات و جلوگیری از این حملات ارایه گردیده است. همچنین در ادامه مواردی همچون: مفاهیم حملات تزریق، روند انجام و چگونگی تشخیص حملات تزریق، روشهای پیشگیری از حمله تزریق، نشت اطلاعات محرمانه از بانک اطلاعاتی، دور زدن منطق اعتبار سنجی، اضافه کردن حسابهای غیر مجاز به بانک اطلاعاتی، شناسایی کدهای مخرب و غیر مجاز، تکنیکهای فیلترینگ،...
The Study of Stressful Factors in Clinical Education for Nursing Students Studying in Nursing and Midwifery College in Khorramabad
کچ هدي پ شي مز هني فده و : شزومآ لاب يني شخب ساسا ي شزومآ مهم و راتسرپ ي تسا . و هنوگ ره دوج لکشم ي شزومآ رد لاب يني ، آراک يي هدزاب و ا ني شزومآ زا شخب راچد ار لکشم م ي دنک . فده اب رضاح شهوژپ سررب ي لماوع سرتسا از ي شزومآ لاب يني رد وجشناد ناي راتسرپ ي هدکشناد راتسرپ ي و يامام ي ماـجنا داـبآ مرـخ تسا هتفرگ . شور و داوم راک : رضاح هعلاطم کي هعلاطم صوت يفي عطقم ي تسا . د...
متن کاملThe effect of cyclosporine on asymmetric antibodies and serum transforming growth factor beta1 in abortion-prone model of mice CBA/J x DBA/2
كچ ي هد فده و هقباس : ي ک ي طقس زورب للع زا اه ي ،ررکم ا لماوع تلاخد ي ژولونوم ي ک ا رد ي ن قم طققس عون ي وراد دقشاب ي س ي روپسولک ي ،ن ح لدم رد طقس شهاک بجوم ي ناو ي CBA/j×DBA/2 م ي تنآ ددرگ ي داب ي اه ي ان و راققتم TGF-β لماوع زا عت مهم يي ن گلماح تشونرس هدننک ي سررب روظنم هب رضاح هعلاطم تسا ي ات ث ي ر اس ي روپسولک ي ن م رب ي از ا ي ن تنآ عون ي داب ي س و اه ي اکوت ي ن TGF...
متن کاملطراحی و پیاده سازی سیستم هوشمند تشخیص عدم تمرکزحواس راننده
یکی از چالشهای بزرگ جهان امروز تصادفات رانندگی است که با خسارات متعدد مالی و جانی همراه است. تصادفات رانندگی بر اثر عوامل مختلفی همچون نقص فنی خودرو، رعایت نکردن قوانین راهنمایی و رانندگی و یا عدم تمرکزحواس راننده در مدت زمان رانندگی رخ میدهند. درصد عمدهای از تصادفات رانندگی بر اثر عدم تمرکز حواس راننده در مدت زمان رانندگی است. این مقاله یک الگوریتم هوشمند کنترلی جهت تشخیص حالت راننده بر اس...
متن کاملThe study of relationship between the tension-making factors and mental health of Semnan nurses
هديكچ فده و هقباس : راتسرپ هفرح ي م رد سرتسارپ لغاشم ردص رد ي ب لغاشم نا تشاده ي نامرد و ي لـماوع و دراد رارـق سرتسا از ي لغش ي ددعتم ي ناور تملاس ي لغاش ي ا ن ي م رارق رطخ ضرعم رد ار هفرح ن ي دهد . فدـه اـب رـضاح شهوژپ سررب ي ت أ ث ي نت لماوع ر ي گد ي ناور تملاس رب از ي نانمس رهش ناراتسرپ دش ارجا . شور و داوم اه : رامآ هعماج ي زا دوب ترابع لك ي ر ناراتسرپ ه مس ي ب ي ناتسرام اه ي رهش هك ...
متن کاملیک روش تعمیم یافته برای مقابله با حملات تزریق sql
در این پژوهش، یک روش تعمیم یافته برای جلوگیری کامل از حمله های تزریق sql ارائه می گردد. تزریق sql شایع ترین آسیب پذیری نرم افزارهای تحت وب است که توسط مهاجمان برای نفوذ به پایگاه داده انجام می شود. تاکنون چندین راه کار توسط پژوهشگران برای مقابله با این مشکل ارائه گردیده است. راه کارهای ارائه شده هر یک به نوبه خود کارآمد و موثر می باشند اما هیچکدام کامل و عمومی نیستند. در این پژوهش، ابتدا انواع ...
منابع من
با ذخیره ی این منبع در منابع من، دسترسی به آن را برای استفاده های بعدی آسان تر کنید
ذخیره در منابع من قبلا به منابع من ذحیره شده{@ msg_add @}
نوع سند: پایان نامه
وزارت علوم، تحقیقات و فناوری - دانشگاه اصفهان - دانشکده فنی و مهندسی
کلمات کلیدی
میزبانی شده توسط پلتفرم ابری doprax.com
copyright © 2015-2023