Orqaga

dasturiy vositalarda zaifliklar tasnifi

PDF 33 sahifa 723,0 KB Bepul yuklash

Sahifa ko'rinishi (5 sahifa)

Pastga aylantiring 👇
1 / 33
6-ma'ruza 6 - ma’ruza: dasturiy vositalarda zaifliklar turlari va tasnifi reja: dasturiy vositalar xavfsizligi ❑owasp tashkiloti e’lon qilgan zaifliklar tasnifi. ❑ularga qarshi himoya choralari. owasp • open webapplication security project • ochiq veb ilovalar xavfsizligi loyihasiowasp • ilovalar xavfsizligi darajasini tekshirishni o‘tkazish standarti; • dasturiy vositalarni yaratish bo‘yicha qo‘llanma; • dasturiy vositani testlash bo‘yicha qo‘llanma; • owasp zap loyihasi; • owasp top 10 zaifliklar ro‘yxati; • va boshqalar. owasp loyihalari dasturiy vositalar xavfsizligi https://owasp.org/www-project-application-security-verification-standard/ https://wiki.owasp.org/index.php/owasp_guide_project https://wiki.owasp.org/index.php/owasp_testing_project https://owasp.org/www-project-zap/ https://owasp.org/www-project-top-ten/ owasp top 10 zaifliklar ro‘yxati • owasp top 10 – dasturiy vosita yaratuvchilar xavfsizligi va veb uchun ilova standart xabardorlik hujjati. • bu veb ilovalar uchun eng muhim xavfsizlik tahdidlari haqida batafsil ma’lumotni ifodalaydi. • ushbu hujjat dasturiy vositalar xavfsizligi asosida tashkilotlar xavfsizlikka tekshirishda ma’lumot veb ilovalarini sifatida ishlatishlari mumkin bo‘ladi. • veb ilovalarni yaratish bo‘yicha faoliyat yuritadigan mutaxassislar ham ushbu ro‘yxatdagi tahdidlarga nisbatan tekshirishlarni olib borishlari shart hisoblanadi. owasp top 10 …
2 / 33
r o‘zlariga mo‘ljallangan ruxsatlardan tashqari harakat qila olmaydigan siyosatni amalga oshiradi. uning buzilishi odatda ma’lumotlarni ruxsatsiz oshkor etilishiga, barcha ma’lumotlarni o‘zgartirishga, yo‘q qilishga yoki foydalanuvchiga tegishli bo‘lmagan funksiyalarni bajarishga olib keladi. keng tarqalgan foydalanishni boshqarish zaifliklariga quyidagilar kiradi: • eng kam imtiyoz yoki joriy holatda rad etish tamoyilining buzilishi; • url manzilini, ichki ilova holatini yoki html sahifasini o‘zgartirish yoki api so‘rovlarini o‘zgartiruvchi hujum vositasi orqali foydalanishni boshqarishni aylanib o‘tish; • imtiyozni ortishi. tizimga kirmasdan foydalanuvchi sifatida harakat qilish yoki foydalanuvchi sifatida kirib, administrator sifatida harakat qilish va hak. dasturiy vositalar xavfsizligi a01:2021-broken access control himoya: ochiq resurslardan tashqari, joriy holda rad etish. foydalanishni boshqarish mexanizmlaridan foydalanish va ilova bo‘ylab qayta foydalanish; bir marta foydalanishni boshqarish modeli qayd yozuvi uchun egalikni ta’minlashi shart (foydalanuvchi biror qayd yozuvini yaratishi, o‘qishi, yangilashi yoki o‘chirishining o‘rniga); foydalanishni boshqarishdagi buzilishlarni loglash va zarur bo‘lganida administratorga xabar berish; veb server kataloglar metama’lumotlari va saqlamaslik. ro‘yxatini …
3 / 33
://example.com/app/accountinfo?acct=notmyacct https://example.com/app/getappinfo https://example.com/app/admin_getappinfo a02:2021 – dasturiy vositalar xavfsizligi cryptographic failures – kriptografik himoyani buzilishi • dastlab ma’lumotni uzatish va saqlashda himoyani aniqlash shart. – masalan, parollar, kredit karta raqamlari, tibbiy ma’lumotlar, shaxsiy va biznesga oid ma’lumotlar qo‘shimcha himoyani talab qiladi. • ushbu turdagi barcha ma’lumotlar uchun: – ularni ochiq ko‘rinishda uzatilmaganligi? http, smtp, ftp kabi protokollar yordamida uzatilmaganligiga? – shifrlar eski yoki zaifmi yoki protokol joriyligicha qolganmi? – joriy kriptografik kalit ishlatilyaptimi? foydalanilgan kalit generatori zaifmi? – shifrlash foydalanilmaganmi, http protokoli ishlatilganmi? – server sertifikat to‘g‘ri tekshirilganmi? – kabi savollarga javob berish kerak. a02:2021 – cryptographic failures – kriptografik himoyani buzilishi himoya: ilova tomonidan ishlangan, saqlangan va uzatilgan ma’lumotni klassifikatsiyalash; keraksiz maxfiy ma’lumotni saqlamaslik; saqlashda barcha ma’lumotlar shifrlanganini kafolatlash; barcha ma’lumotlarni himoyalangan kanalda uzatish, masalan, ssl, tls protokollarida; foydalanilgan algoritmlarni yangilanganligiga va bardoshli ekanligiga ishonch hosil qilish; parollarni bardoshli xesh algoritmlari yordamida “tuz” bilan xeshlangan ko‘rinishda saqlash; har doim shunchaki …
4 / 33
tmlardan foydalanishi mumkin. bundan hollarda: • buzg‘unchi himoyalanmagan kanal orqali sessiya ma’lumotlarini olishi va uning yordamida foydalanuvchi sessiyasini o‘g‘rilashi mumkin. dasturiy vositalar xavfsizligi a03:2021 – injection – ineksiya ilova quyidagi holatlarda hujumlarga zaif hisoblanadi: • foydalanuvchi tomonidan taqdim etilgan ma’lumotlar ilova tomonidan tekshirilmagan, filtirlanmagan va tozalanmaganda; • interpritatorda dinamik so‘rovlar yoki konteksdan xabardor bo‘lmagan parametrsiz chaqiruvlar bevosita qo‘llanilganida; • buzg‘unchi ma’lumotlar bevosita ishlatiladi yoki foydalanuvchi ma’lumotiga birlashtirilganida. dasturiy vositalar xavfsizligi a03:2021 – injection – ineksiya himoya: interpritatordan foydalanish; foydalanish o‘rniga xafsiz api-dan server tomonida mos kirishni tekshirishni amalga oshirish; ixtiyoriy dinamik so‘rovlarda maxsus belgilarni bo‘lishini oldini oling; sql ineksiya holatida ma’lumotlarni ommaviy oshkor etilishini oldini olish uchun limit yoki boshqa sql boshqaruvlaridan foydalanish. dasturiy vositalar xavfsizligi a03:2021 – injection – hujum ineksiyalari №1. quyidagi sql chaqiruvchi orqali ineksiyani amalga oshirish mumkin: • string query = "select \* from accounts where custid='" + request.getparameter("id") + "'"; №2. yuqoridagi kabi, fremworklarda ham …
5 / 33
farq mavjud. • xavfsiz bo‘lmagan loyihalashda hanuzgacha foydalanish mumkin bo‘lgan zaifliklarga olib keladigan kamchiliklar bo‘lishi mumkin. • xavfsiz bo‘lmagan loyihalashga sabablardan biri bu – ishlab chiqilayotgan dasturiy ta’minot yoki tizimga xos bo‘lgan risklar profilining mavjud emasligi va shuning uchun xavfsizlik loyihasining qaysi darajasi talab qilinishini aniqlay olmaslikdir. a04:2021 – insecure design – xavfsiz bo‘lmagan loyihalash himoya: xavfsizlik va maxfiylik bilan bog‘liq boshqaruv elementlarini baholash va loyihalashda ilova xavfsizligi mutaxassislari bilan maslahatlashish; xavfsiz loyihalash shablonlari va foydalanishga tayyor kutubxonalarni yaratish va foydalanish; kritik autentifikatsiya, foydalanishni boshqarish, biznes logika uchun tahdid modelidan foydalanish; ilovani har bir darajasida ishonchlik tekshiruvlarni integratsiyalash; dasturiy ta’minot talablariga xavfsizlik tili va foydalanishni integratsiyalash. dasturiy vositalar xavfsizligi a05:2021 – security misconfiguration – xavfsizlikni noto‘g‘ri sozlanishi agar ilovalarda quyidagilar mavjud bo‘lsa, u zaif deb atalishi mumkin: • zarur bo‘lmagan imkoniyatlar yoki xususiyatlar yoqib qo‘yilgan yoki o‘rnatilgan; • standart qayd yozuvlari va ularning parollari o‘zgartirilmagan; • xatolarni tutib olish (error …

Ko'proq o'qimoqchimisiz?

Barcha 33 sahifani Telegram orqali bepul yuklab oling.

To'liq faylni yuklab olish

"dasturiy vositalarda zaifliklar tasnifi" haqida

6-ma'ruza 6 - ma’ruza: dasturiy vositalarda zaifliklar turlari va tasnifi reja: dasturiy vositalar xavfsizligi ❑owasp tashkiloti e’lon qilgan zaifliklar tasnifi. ❑ularga qarshi himoya choralari. owasp • open webapplication security project • ochiq veb ilovalar xavfsizligi loyihasiowasp • ilovalar xavfsizligi darajasini tekshirishni o‘tkazish standarti; • dasturiy vositalarni yaratish bo‘yicha qo‘llanma; • dasturiy vositani testlash bo‘yicha qo‘llanma; • owasp zap loyihasi; • owasp top 10 zaifliklar ro‘yxati; • va boshqalar. owasp loyihalari dasturiy vositalar xavfsizligi https://owasp.org/www-project-application-security-verification-standard/ https://wiki.owasp.org/index.php/owasp_guide_project https://wiki.owasp.org/index.php/owasp_testing_project https://owasp.org/www-project-zap/ https...

Bu fayl PDF formatida 33 sahifadan iborat (723,0 KB). "dasturiy vositalarda zaifliklar tasnifi"ni yuklab olish uchun chap tomondagi Telegram tugmasini bosing.

Teglar: dasturiy vositalarda zaifliklar… PDF 33 sahifa Bepul yuklash Telegram

O'xshash fayllar

Bularni ham yoqtirishi mumkin

Hammasini ko'rsatish
owasp tashkilot va uning faoliyat turi.2 — PPTX PPTX
owasp tashkilot va uning faoliyat turi.2
16 sahifa 1,7 MB
axborot xavfsizligi — DOCX DOCX
axborot xavfsizligi
63 sahifa 3,1 MB
axborot xavfsizligi — DOCX DOCX
axborot xavfsizligi
40 sahifa 3,1 MB
DOCX
owasp zap dasturi yordamida tizimni xavfsizlikka testlash.
FaylHub.uz
DOCX
owasp zap dasturi yordamida tizimni xavfsizlikka testlash.
7 sahifa 289,6 KB
mobil ilovalar uchun xavsizlik, shifrlash va maʼlumotlarni himoya qilish — DOCX DOCX
mobil ilovalar uchun xavsizlik, shifrlash va maʼlumotlarni himoya qilish
25 sahifa 81,4 KB
kiberxavfsizlikka oid dasturlar yaratish va foydalanuvchi ma’lumotlarini himoyalash. — DOCX DOCX
kiberxavfsizlikka oid dasturlar yaratish va foydalanuvchi ma’lumotlarini himoyalash.
34 sahifa 275,8 KB
dasturiy vositalar xavfsizligiga oid so‘nggi statistik ma’lumotlar tahlili — PPTX PPTX
dasturiy vositalar xavfsizligiga oid so‘nggi statistik ma’lumotlar tahlili
11 sahifa 20,5 MB
web ilovalarining zaifliklarini aniqlash usul va vositalar tahlili — PPTX PPTX
web ilovalarining zaifliklarini aniqlash usul va vositalar tahlili
22 sahifa 576,6 KB
web ilovalarining zaifliklarini aniqlash usul va vositalar tahlili — PPTX PPTX
web ilovalarining zaifliklarini aniqlash usul va vositalar tahlili
15 sahifa 5,6 MB
sayohat va turistik xizmatlar platformasi yaratish — DOCX DOCX
sayohat va turistik xizmatlar platformasi yaratish
44 sahifa 521,6 KB
nasamarslander — PPTX PPTX
nasamarslander
25 sahifa 1,6 MB
dasturiy vositalarda gixavfsizlik muammolari — PPTX PPTX
dasturiy vositalarda gixavfsizlik muammolari
18 sahifa 1,1 MB