Главная » Просмотр файлов » МИСЗКИ книга

МИСЗКИ книга (1085503), страница 6

Файл №1085503 МИСЗКИ книга (МИСЗКИ книга) 6 страницаМИСЗКИ книга (1085503) страница 62018-01-12СтудИзба
Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

— Серверы — это прикладные программы, предназначенные для установления связи с клиентами, получения от клиентов запросов и отправки ответов. Обычно программы-серверы фугг ционнруюг на мощ компьютерах, соединенных друг с другом магистральными линиями связи с болъшой пропускной способностью. Программы-клиенты функционируют, как правило, на сравюпелъно менее мощных компъютерах, подсоединенных к серверам с помощью значительно менее быстродействующих линий связи (например, телефонных линий).

Серверы управляют доступом к информационным ресурсам Интернета, руководствуясь запросами клиентов. Ресурсом может быть любой объект, содержзщнй информацию — документ, рисунок — нли служба. Основа общения в Интернете язык НТМ? . Язык НТМ?. — это средство создания страниц Интернета, основная функция которого состоит в форматировании текстового содержимого страницы, вставки в текст графики, мультимедийной информации, например, звукз, различных интерактивных элементов таких, как списки, кнопки и, наконец, сценариев.

Таким образом, с помощью языка НТМ?. обычный текстовый документ можно превратнзь в настоящую программу, которая исполняется веб-браузерами, чаще всего, ?п?егпег Ехр1огег (?Е). Следователъно, если веб-страница — это программа, то кракер имеет возможность заставить код НТМ1. веб-страницы делать то, что ему нужно, а не то, для чего язык НТМ1., собст- 31 венно, предназначен — воспроизведения информационных ресурсов, храюшпгхся на серверах Интернеш. Рассмотрим некоторые из варианты атак на веб-браузеры посредспюм НТМЬ кода. 1. Ген огов. По сути, это атака на отказ в обслуживании, выполняемая на компьютере клиента, включением в веб-страницу простейших сценцриев. Эти сценарии могут бесконечно генерировать все новые и новые страницы„которые браузер будет отображать на экране, пока не переполнит память компьютера или не приведет к его зависанию. Проще всего эту атаку можно выполнить с помощью команда орел, которая в бесконечном цикле сценария )атабспрг на странице гсвг.(згпй будут отображать зту же страницу до переполнения памяти, как это сделано в приведенном коде НТМ1..

<НТМЬ> <БСК1РТ ЬАХЖ)АОЕ="1атабспрг"> йепегат(оп О; йпс6ои йепегапопО ( тах 6=0; зяИе (пне) ( а = петя РаГе; д = а.яегМ(й)аесоюмЬО; зяшг)ози.ореп( теагййшГ,о,"зякк(ь=250, (зе(я(и=250"); ) ) <6Сй)РТ> <6ПМЬ> Воспроизведение такого кода браузерами приведет к стопроцентной загрузке процессора и заполнению экрана пустыми диалогами (см. скрнншоты на рисунке 3, приведенном на следующей странице). Рис. 3.

Результат атаки «Генерация диалогов». 33 32 Современные компьютеры от такой атаки сразу не зависнуг, но атака на отказ в обслуживании все равно остается успешной. Это связано с тем фактом, что попытка снятия браузера с выполнения приведет к закрытию всех активных страниц браузера, и пользователю, возможно, придется искать их заново. Эффективным средспюм борьбы с такой атакой является установка программ-блокираторов всплывающих окон или активация функции блокирования всплывающих окон в браузере (если он эту функцию поддерживает).

значением идентификатора С1.З1О. Рассмотрим код НТМ1., реа- лизующий указанную возможность. <НТМ1.> <ОВ1ЕСТ С1.АЗЗ1О='С1.З1О:100000004Ю004Ю00-0000- (НЮ000000000' СО1)ЕВАЗЕ='с:1члпдовзЪузгеш321са1с.ехе > </ОВ)ЕСТ> </НТМ1.> 2. Пе еполнение б е а. Один из самых старых методов атак, не только ставший классическим, но и по сей день являющийся основным методом эксплуатации многих уязвимостей. Он основан на том, что если программа запрашивает у пользователя какие-либо данные, то в программе обязательно будет процедура обработки этих данных. Локальные переменные, используемые в процедурах, обычно хранятся компилятором в стеке, куда чуть ранъше нм же помещается адрес возврата.

При часто используемой реализации стека, когда он «растет» вниз, оказывается, что адрес возврата в процедуру находится «дальше» (то есть имеет в стеке больший адрес), чем локальные переменные. То есть, адрес возврата находится не только в одном сегменте с локальными переменными, но и имеет больший адрес. Тогда, передав в качестве данных строку, имеющую заведомо больший размер, чем для нее отведено в процедуре, мы сможем изменить те данные, которые лежат в памяти выше этой переменной.

В том числе, поменять адрес возврата и добавить нужные строки кода для удаленного исполнения. Также отметим, эту атаку можно применять и для организации атаки на отказ в обслуживании. Достаточно передать длинную строку со случайным содержимым, чтобы произошел возврат по случайному адресу, который вызовет аварийный останов программы или всей операционной системы. 3. ск о мм из ко НТМ1. Существует метод запуска любых локальных программ с помощью кода НТМЬ, содержащего тег <ОВ1ЕСТ> с ненулевым 34 Результат выполнения этого кода можно видеть на верхнем скриншоте рисунка 4. В данном случае была запущена программа Калькулятор пз папки СМ%пдозуа1ауагеш321са1с.ехе', однако ничего не мешает взломщику запуснпь любую другую программу, главное знать ее точное расположение.

Однако современные антивирусы способны обнаруживать и теле НТМ1. файла такой код и прешпствуют его запуску. Разумеется, если антивирус установлен и запущен в режиме монигоринга. Реакция антивируса Кязрегз1су Апг1зчга1 ТооЫг Рго версии 3.5 представлена на нижнем скриншоте рисунка 4. 4. ск помо ю еймов Система защиты %еЬ-браузеров построена таким образом, чтобы сценарии 1ауаЗсйр1, помещаемые в НТМ1.-код 'ззГеЬ- есраниц, не имели доступа к локальной файловой системе компьютера.

Однако в браузерах 1Е имеется лазейка, связанная с югом 1РКАМЕ, предназначенным для внедрения в текст %еЬ- страницы небольших фреймов. Рассмотрим код НТМ1., позволяющий сценарию прочесп файл, хранящийся в корневом каталоге клиентского компъютера СЪеспгйуяхп <НТМ1.> <ВО1УУ> Чтение файла С5зесвгйулхг <Вй> ' Стандвршыа путь в %шлозаа ХР.

В %айозеа 2000 ов выглядят хж ~ '1»1 аоМувшш32~сшс.ехе, а %шдсзеа 9х — с."1«еайеМса1с.ехе. 35 <1РКАМЕ Ы=п> ЛРйАМЯ» <БСВЛРТ етепг=Мак1йагеСопзр1еге2(Ь) Гог=П> в1егг("Ваш файл содержит такие сведенияЛа "+ +Ь.г(осшпепг.)ии)у,шпегТехг); «/БСИРТ> <Бсй1РТ 11.пау1йаге("11)езгс:/Бесппгуххг*'); кегТнпеопг('11 пас(лаге("Тз1елус:/Бесппгулхг")',1000); БСЯ)РТ <вооу> с/НТМ1.> Как видно на рисунке 5, содержимое файла кесппгу.гхг— с~рока «Некоторая важны информация» — отобразилось во фрейме внутри веб-страницы.

Таким образом, получив доступ к локальной файловой системе, можно подумать и о дальнейшей работе с ее ресурсами. Так, сценарии 1ауаБспрГ позволжот выполнять отправку электронных писем по указанному адресу. ° " су .Бйгз зз ьс ь и" Ф:''«аз Э С « ап«~асс:~ огиз« ««нраа в звая ин«рюв« а Рис. 5. Результат атеииа файлов с помощью фреймов. Рис. 4. Результат атаки «Запуск программ из кода НТМг.

Данная уязвимость связана с ошибками в реализации события Хачтйа<еСопзр1е1е2, которое сообщает о завершении перемещения документа на новое место. 5. Использование с ена в Асг'че Элементы Ас6чеХ представляют собой небольшие программы, включаемые в НТМ1 код веб-страницы для придания ей интерактивных возможностей. При загрузке браузером вебстраницы программа, Реализующая элемент Ас6чеХ, запускается и выполняет свои функции. Поскольку программный код Ас6чеХ имеет те же прана доступа к информвцзюнным Ресурсам, что и учетная запись пользователя браузера, то для кракера элементы являются неплохим инструментом для взлома компьютера клиента.

Для защиты клиентов Интернета от такой угрозы создатель технологии Ас6чеХ вЂ” компания Мюговой — включила в механизм обработки элементов Ас6чеХ проверку цифровых сертификатов, которые присваиваются кюкдому официально зарегистрированному элементу Ас6чеХ уполномоченными организациями. И если параметры безопасности браузера настроены корректно, то автоматический запуск не сертифицированных элементов Ас6чеХ будет исключен — как минимум, пользователю будет отображаться сообщение о загрузке потенциально опасного элемента АсбчеХ. Теоретически, такой механики обеспечения безопасности выглядит безупречно, однако на практике все обстоит далеко не так гладко. Причина тому — ошибки Реализации и беспечность пользователей, которые часто не обрапшют внимания на мелькающие сообщения о загрузке не сертифицированных Ас11чеХ и соглашаютсв на их загрузку, не думая о последствиях.

Характеристики

Тип файла
PDF-файл
Размер
10,25 Mb
Материал
Тип материала
Высшее учебное заведение

Список файлов книги

Свежие статьи
Популярно сейчас
А знаете ли Вы, что из года в год задания практически не меняются? Математика, преподаваемая в учебных заведениях, никак не менялась минимум 30 лет. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
6418
Авторов
на СтудИзбе
307
Средний доход
с одного платного файла
Обучение Подробнее