Back

dasturiy vositalarda zaifliklar tasnifi

PDF 33 pages 723.0 KB Free download

Page preview (5 pages)

Scroll down 👇
1 / 33
6-ma'ruza 6 - ma’ruza: dasturiy vositalarda zaifliklar turlari va tasnifi reja: dasturiy vositalar xavfsizligi ❑owasp tashkiloti e’lon qilgan zaifliklar tasnifi. ❑ularga qarshi himoya choralari. owasp • open webapplication security project • ochiq veb ilovalar xavfsizligi loyihasiowasp • ilovalar xavfsizligi darajasini tekshirishni o‘tkazish standarti; • dasturiy vositalarni yaratish bo‘yicha qo‘llanma; • dasturiy vositani testlash bo‘yicha qo‘llanma; • owasp zap loyihasi; • owasp top 10 zaifliklar ro‘yxati; • va boshqalar. owasp loyihalari dasturiy vositalar xavfsizligi https://owasp.org/www-project-application-security-verification-standard/ https://wiki.owasp.org/index.php/owasp_guide_project https://wiki.owasp.org/index.php/owasp_testing_project https://owasp.org/www-project-zap/ https://owasp.org/www-project-top-ten/ owasp top 10 zaifliklar ro‘yxati • owasp top 10 – dasturiy vosita yaratuvchilar xavfsizligi va veb uchun ilova standart xabardorlik hujjati. • bu veb ilovalar uchun eng muhim xavfsizlik tahdidlari haqida batafsil ma’lumotni ifodalaydi. • ushbu hujjat dasturiy vositalar xavfsizligi asosida tashkilotlar xavfsizlikka tekshirishda ma’lumot veb ilovalarini sifatida ishlatishlari mumkin bo‘ladi. • veb ilovalarni yaratish bo‘yicha faoliyat yuritadigan mutaxassislar ham ushbu ro‘yxatdagi tahdidlarga nisbatan tekshirishlarni olib borishlari shart hisoblanadi. owasp top 10 …
2 / 33
r o‘zlariga mo‘ljallangan ruxsatlardan tashqari harakat qila olmaydigan siyosatni amalga oshiradi. uning buzilishi odatda ma’lumotlarni ruxsatsiz oshkor etilishiga, barcha ma’lumotlarni o‘zgartirishga, yo‘q qilishga yoki foydalanuvchiga tegishli bo‘lmagan funksiyalarni bajarishga olib keladi. keng tarqalgan foydalanishni boshqarish zaifliklariga quyidagilar kiradi: • eng kam imtiyoz yoki joriy holatda rad etish tamoyilining buzilishi; • url manzilini, ichki ilova holatini yoki html sahifasini o‘zgartirish yoki api so‘rovlarini o‘zgartiruvchi hujum vositasi orqali foydalanishni boshqarishni aylanib o‘tish; • imtiyozni ortishi. tizimga kirmasdan foydalanuvchi sifatida harakat qilish yoki foydalanuvchi sifatida kirib, administrator sifatida harakat qilish va hak. dasturiy vositalar xavfsizligi a01:2021-broken access control himoya: ochiq resurslardan tashqari, joriy holda rad etish. foydalanishni boshqarish mexanizmlaridan foydalanish va ilova bo‘ylab qayta foydalanish; bir marta foydalanishni boshqarish modeli qayd yozuvi uchun egalikni ta’minlashi shart (foydalanuvchi biror qayd yozuvini yaratishi, o‘qishi, yangilashi yoki o‘chirishining o‘rniga); foydalanishni boshqarishdagi buzilishlarni loglash va zarur bo‘lganida administratorga xabar berish; veb server kataloglar metama’lumotlari va saqlamaslik. ro‘yxatini …
3 / 33
://example.com/app/accountinfo?acct=notmyacct https://example.com/app/getappinfo https://example.com/app/admin_getappinfo a02:2021 – dasturiy vositalar xavfsizligi cryptographic failures – kriptografik himoyani buzilishi • dastlab ma’lumotni uzatish va saqlashda himoyani aniqlash shart. – masalan, parollar, kredit karta raqamlari, tibbiy ma’lumotlar, shaxsiy va biznesga oid ma’lumotlar qo‘shimcha himoyani talab qiladi. • ushbu turdagi barcha ma’lumotlar uchun: – ularni ochiq ko‘rinishda uzatilmaganligi? http, smtp, ftp kabi protokollar yordamida uzatilmaganligiga? – shifrlar eski yoki zaifmi yoki protokol joriyligicha qolganmi? – joriy kriptografik kalit ishlatilyaptimi? foydalanilgan kalit generatori zaifmi? – shifrlash foydalanilmaganmi, http protokoli ishlatilganmi? – server sertifikat to‘g‘ri tekshirilganmi? – kabi savollarga javob berish kerak. a02:2021 – cryptographic failures – kriptografik himoyani buzilishi himoya: ilova tomonidan ishlangan, saqlangan va uzatilgan ma’lumotni klassifikatsiyalash; keraksiz maxfiy ma’lumotni saqlamaslik; saqlashda barcha ma’lumotlar shifrlanganini kafolatlash; barcha ma’lumotlarni himoyalangan kanalda uzatish, masalan, ssl, tls protokollarida; foydalanilgan algoritmlarni yangilanganligiga va bardoshli ekanligiga ishonch hosil qilish; parollarni bardoshli xesh algoritmlari yordamida “tuz” bilan xeshlangan ko‘rinishda saqlash; har doim shunchaki …
4 / 33
tmlardan foydalanishi mumkin. bundan hollarda: • buzg‘unchi himoyalanmagan kanal orqali sessiya ma’lumotlarini olishi va uning yordamida foydalanuvchi sessiyasini o‘g‘rilashi mumkin. dasturiy vositalar xavfsizligi a03:2021 – injection – ineksiya ilova quyidagi holatlarda hujumlarga zaif hisoblanadi: • foydalanuvchi tomonidan taqdim etilgan ma’lumotlar ilova tomonidan tekshirilmagan, filtirlanmagan va tozalanmaganda; • interpritatorda dinamik so‘rovlar yoki konteksdan xabardor bo‘lmagan parametrsiz chaqiruvlar bevosita qo‘llanilganida; • buzg‘unchi ma’lumotlar bevosita ishlatiladi yoki foydalanuvchi ma’lumotiga birlashtirilganida. dasturiy vositalar xavfsizligi a03:2021 – injection – ineksiya himoya: interpritatordan foydalanish; foydalanish o‘rniga xafsiz api-dan server tomonida mos kirishni tekshirishni amalga oshirish; ixtiyoriy dinamik so‘rovlarda maxsus belgilarni bo‘lishini oldini oling; sql ineksiya holatida ma’lumotlarni ommaviy oshkor etilishini oldini olish uchun limit yoki boshqa sql boshqaruvlaridan foydalanish. dasturiy vositalar xavfsizligi a03:2021 – injection – hujum ineksiyalari №1. quyidagi sql chaqiruvchi orqali ineksiyani amalga oshirish mumkin: • string query = "select \* from accounts where custid='" + request.getparameter("id") + "'"; №2. yuqoridagi kabi, fremworklarda ham …
5 / 33
farq mavjud. • xavfsiz bo‘lmagan loyihalashda hanuzgacha foydalanish mumkin bo‘lgan zaifliklarga olib keladigan kamchiliklar bo‘lishi mumkin. • xavfsiz bo‘lmagan loyihalashga sabablardan biri bu – ishlab chiqilayotgan dasturiy ta’minot yoki tizimga xos bo‘lgan risklar profilining mavjud emasligi va shuning uchun xavfsizlik loyihasining qaysi darajasi talab qilinishini aniqlay olmaslikdir. a04:2021 – insecure design – xavfsiz bo‘lmagan loyihalash himoya: xavfsizlik va maxfiylik bilan bog‘liq boshqaruv elementlarini baholash va loyihalashda ilova xavfsizligi mutaxassislari bilan maslahatlashish; xavfsiz loyihalash shablonlari va foydalanishga tayyor kutubxonalarni yaratish va foydalanish; kritik autentifikatsiya, foydalanishni boshqarish, biznes logika uchun tahdid modelidan foydalanish; ilovani har bir darajasida ishonchlik tekshiruvlarni integratsiyalash; dasturiy ta’minot talablariga xavfsizlik tili va foydalanishni integratsiyalash. dasturiy vositalar xavfsizligi a05:2021 – security misconfiguration – xavfsizlikni noto‘g‘ri sozlanishi agar ilovalarda quyidagilar mavjud bo‘lsa, u zaif deb atalishi mumkin: • zarur bo‘lmagan imkoniyatlar yoki xususiyatlar yoqib qo‘yilgan yoki o‘rnatilgan; • standart qayd yozuvlari va ularning parollari o‘zgartirilmagan; • xatolarni tutib olish (error …

Want to read more?

Download all 33 pages for free via Telegram.

Download full file

About "dasturiy vositalarda zaifliklar tasnifi"

6-ma'ruza 6 - ma’ruza: dasturiy vositalarda zaifliklar turlari va tasnifi reja: dasturiy vositalar xavfsizligi ❑owasp tashkiloti e’lon qilgan zaifliklar tasnifi. ❑ularga qarshi himoya choralari. owasp • open webapplication security project • ochiq veb ilovalar xavfsizligi loyihasiowasp • ilovalar xavfsizligi darajasini tekshirishni o‘tkazish standarti; • dasturiy vositalarni yaratish bo‘yicha qo‘llanma; • dasturiy vositani testlash bo‘yicha qo‘llanma; • owasp zap loyihasi; • owasp top 10 zaifliklar ro‘yxati; • va boshqalar. owasp loyihalari dasturiy vositalar xavfsizligi https://owasp.org/www-project-application-security-verification-standard/ https://wiki.owasp.org/index.php/owasp_guide_project https://wiki.owasp.org/index.php/owasp_testing_project https://owasp.org/www-project-zap/ https...

This file contains 33 pages in PDF format (723.0 KB). To download "dasturiy vositalarda zaifliklar tasnifi", click the Telegram button on the left.

Tags: dasturiy vositalarda zaifliklar… PDF 33 pages Free download Telegram

Similar files

You might also like these

Show all
owasp tashkilot va uning faoliyat turi.2 — PPTX PPTX
owasp tashkilot va uning faoliyat turi.2
16 pages 1.7 MB
axborot xavfsizligi — DOCX DOCX
axborot xavfsizligi
63 pages 3.1 MB
axborot xavfsizligi — DOCX DOCX
axborot xavfsizligi
40 pages 3.1 MB
DOCX
owasp zap dasturi yordamida tizimni xavfsizlikka testlash.
FaylHub.uz
DOCX
owasp zap dasturi yordamida tizimni xavfsizlikka testlash.
7 pages 289.6 KB
mobil ilovalar uchun xavsizlik, shifrlash va maʼlumotlarni himoya qilish — DOCX DOCX
mobil ilovalar uchun xavsizlik, shifrlash va maʼlumotlarni himoya qilish
25 pages 81.4 KB
kiberxavfsizlikka oid dasturlar yaratish va foydalanuvchi ma’lumotlarini himoyalash. — DOCX DOCX
kiberxavfsizlikka oid dasturlar yaratish va foydalanuvchi ma’lumotlarini himoyalash.
34 pages 275.8 KB
dasturiy vositalar xavfsizligiga oid so‘nggi statistik ma’lumotlar tahlili — PPTX PPTX
dasturiy vositalar xavfsizligiga oid so‘nggi statistik ma’lumotlar tahlili
11 pages 20.5 MB
web ilovalarining zaifliklarini aniqlash usul va vositalar tahlili — PPTX PPTX
web ilovalarining zaifliklarini aniqlash usul va vositalar tahlili
22 pages 576.6 KB
web ilovalarining zaifliklarini aniqlash usul va vositalar tahlili — PPTX PPTX
web ilovalarining zaifliklarini aniqlash usul va vositalar tahlili
15 pages 5.6 MB
sayohat va turistik xizmatlar platformasi yaratish — DOCX DOCX
sayohat va turistik xizmatlar platformasi yaratish
44 pages 521.6 KB
nasamarslander — PPTX PPTX
nasamarslander
25 pages 1.6 MB
dasturiy vositalarda gixavfsizlik muammolari — PPTX PPTX
dasturiy vositalarda gixavfsizlik muammolari
18 pages 1.1 MB