Authentication

احراز یت ي مکاویسم ای آن

فیم پارساییتجارت الکتريویک داوشجی رشت

89بمه

مقدمه چالش و پاسخ HMACمرکس توزیع

کلیدشرودر-نیدهام KERBEROS

رمسنگاری کلید عمومی

auditing

authentication

authorization




احطاظیتیه هثل) هخزیت ط آى اؾبؼ ثط و اؾت هىبیعهی یب ضـ

یه زض ا قطیه آیب و وس هی ثطضؾی (قرم یب پطؾ هی ازػب و اؾت وبی ،(همبثل طف هخزیت یؼی) اضتجب

الؼی طف ثدبی ضا ذز و اؾت ثبلث گط اذالل یه یب وس.اؾت ظز خب

بی ؾبذتگی خؼل اضؾبل زاز




احطاظیت

چیعی و وبضثط ثساسضهع ػجض هتی، ضهع ػجض تهیطی

چیعی و وبضثط هبله آى اؾتبی قوس بی اهیتی، وبضت توي

چیعی و وبضثط اظ ظط ثیلغیه زاضز، تكریم چط، الگی قجى چكناثط اگكت،

تكریم نسا




ولو ػجض

.تطیي ع احطاظ یت اؾت ضایحهعیت

پیبز ؾبظی ثؿیبض ؾبزهؼبیت

.هی تاى آى ضا حسؼ ظز.ث آؾبی ث زیگطی زاز هی قز

.یبزآضی آى، ث یػ اگط هطتجب اؾتفبز كز، ویك آؾبى یؿتآهظـ وبضثطاى




توي گبضی ضهع ػولیبت ادبم ثطای ای حبفظ زاضای توي

ثب ؿتس الىتطیىی بی گای گساضی ثىبضگیطی ب آى زض هخز تطاق ضیع اظ اؾتفبز

هی ادبم گبضی ضهع ػولیبت پیچیس، بی الگضیتنقز ثب تاس هی ثبقس، هی توي زاضس و قرهی تب

هحطهب االػبت ث توي ػجض ولو وطزى اضز.وس پیسا زؾتطؾی




ثیهتطیه

اؾتفبز اظ ذهنیبت فیعیىی اقربلهعیت

غیط لبثل زؾتطؾی، گن قسى، فطاهقیػیت

، هت، گساضی عی




یت ثط اؾبؼ ضیىطز چبلف پبؾد احطاظ

challenge) پبؾد چبلف and Response): ضقت یب ػسز یه ، طفیي اظ یىی تجسیل ثبیس همبثل طف .فطؾتس هی ذز همبثل طف ثطای ضا آى تلیس تهبزفی ای

ضقت» تهبزفی ی ضقت یب ػسز ث .ثطگطزاس ضا تید وس اػوبل آى ضی ضا ذبنی.قز هی گفت« nonce چبلف

در محديد ای 128حداقل )بسرگ

باشد( بیت

nonce

باید کامال تصادفی باشد




ضقی جك هتمبضى ؾطی ولیس یه ذهل زض لجال ثبة آلیؽ اظ .قز هی بهیس هتمبضى ولیس ایي.اس ضؾیس تافك ث هوئي

هتمل قجى ضی ثط جبیس ضهع ولیس قطایی یچ تحت و آدب چبلف ضیىطز ث یىسیگط یت احطاظ ثطای آب لصا قز

.قس هی هتؾل پبؾدA آلیؽ هؼطف B ثبة هؼطف R چبلف ضقت هؼطف K ولیس هؼطف




بابآلیس

1

2

3

آغبظ كؿت

A B

A

( )AB BK R

4

AR( )AB AK R

5

BR

ظهبىظهبى




مس ثطضؾی.یىی اظ هكىالت ایي ضـ حول ثبظتبة اؾت اخالل گرباب

1

2

3

آغبظ كؿت

T B

4

5

, TA R

, ( )B AB TR K R

, BA R

( )AB BK R

2 , ( )B AB BR K R

ظهبىظهبى




ضاىبض

.تطویت ضـ بی فق اهیت ضا زض ثطاثط حول ثبظتبة ثبال هی ثطز

طاحی ؾیؿتن ث گ ای ثبقس و ث هحى هكبس االػبت یه كؿت زضكؿت هاظی زیگط، ؾیؿتن ط ز كؿت ضا لغ وس A

Bطفیي ث گ ای ضقت بی چبلف ذز ضا اظ هدوػ بی هتفبت

اتربة وس و اهوىبى خؼل یت جبقس




MAC

Hash ایي اظ یىی Function ب MAC و وبضی .اؾت MAC هیىس secret و ضا ولیس یه و ایؿت key ثؼاى پیبم یه ثوطا اؾت

Message ثبم هیسس ذطخی یه هیىس لجل ضزی

Authentication Code تؼلك پیبم آى ث و یتی قبؾبیی وس اضؾبل فطزی ثطای ضا پیبهی ظهبیى و ایؿت تبثغ ایي انلی وبضثطز زاضز

وس حبنل اویبى فطؾتس فطز انلی یت اظ ثتاس فطز آى هیىین زاقت ضا اتظبضـ آى و وطز اضؾبل ثطایف ضا پیبم فطزی و قز هوئي

.اؾت پیبم انلی وس اضؾبل




HMAC




Aپیبز ؾبظی ایي ضـ زض ؾح ؾرت افعاض عی ون

ؾطػت ثبالیی زاضز

Bثطای ز هخزیت و اظ طیك یه لیه هؿتمین ث

.یىسیگط هتهلس ، ثؿیبض هفیس اؾت

Cثبیس فطو قز و لجال فطایس قبؾبیی همسهبتی هجبزل ی قبؾ

بی وبضثطی نضت گطفت ایي هىبیعم نطفب ثطای اثجبت زضؾتی .ازػبی طفیي اؾت

D AESایي الگضیتن ثب یه ضـ ضهعگبضی هتمبضى هثل

.لبثل خبیگعیي اؾت serpentیب

HMAC

احطاظ یت هتىی ثط هطوع تظیغ ولیس

هی اضائ اػتجبضی هؾؿ یب ثبه یه و ذسهبتی ویس فطو قؼت اظ یىی زض یىجبض حسالل وبضثط و ثبقس قىلی ث وس

.وبیس زضیبفت ضا ذز ولیس وس ثبظ حؿبة . قز حبيط

KDC(key distributed center) ولیس ظیبز حدن زلیل ث .قز هی ایدبز ولیسب هسیطیت شذیط ثطای هطوع ایي وبضثطاى،







KDC آلیسباب

1

3

آغبظ كؿت

A B

, ( , )A sA K B K

( , )B sK A K

ظهبىظهبى




مس ثطضؾیظیطا اذاللگط ثبلث . اؾت« حول تىطاض»یىی اظ ذطات ثؿیبض هن

هی تاس پیبم بی ثیي طفیي ثسى یچ فوی اظ هحتا اؾتطاق .ؾوغ وس




ضاىبض

تطویت ضـ بی فق ثتطیي ضا اؾت.

ضقت بی زاضای اػتجبض ظهبی فم زض ثبفط گساضی هی قس.

ث هظض تكریم تبظگی پیبم« هط ظهبى»ث وبضگیطی A

Bثبقس گیطس ثب هطاخؼ ث فبیل گساضی nonceزض ط پیبم ضقت تهبزفی

.ؾبثم پیبم ب، تىطاضی ثزى ضا ثطضؾی وس




قطزض-هىبیعم احطاظ یت یسبم

تؾ ضاخطظ یسبم 1978ایي پطتىل زض ؾبل.هبیىل قطزض هؼطفی قس

اؾت یبظ ث هطوع « چبلف پبؾد»هجتی ثط هفم.تلیس ولیس زاضز




KDC آلیسباب

1

2

آغبظ كؿت

A B

, ,AR A B

( , , , ( , ))A A S B SK R B K K A K

2( , ), ( )B S S AK A K K R

2( 1),S A BK R R

( 1)S BK R

3

4

5

ظهبى ظهبى




ثطضؾی مس اظ هیتاس .وس ؾوغ اؾتطاق ضا كؿت ولیس ثلی اذاللگط اگط

.وس آغبظ ضا تىطاض حول ؾم هطحل

كؿت ولیس طم افطاز ػوهب وس هی تغییط ثبض ط ههطف ثبض یه هؼوال

.وس وی زلت آى گساضی زض ب افعاض

SK

SK




KERBEROS

یت احطاظ پطتىل Kerberos زض «آتي» پطغ اظ ثركی پطتىل اظ ای گ اؾبؼ ثط انل زض و ثز MIT زاكگب

ااؾ ث هتؼلك Kerberos .اؾت قس بز ثب «قطزض -یسبم» زض خسیس ی عاض زض آى خسی وبضثطزبی لی اؾت كتبز ز

Windows هثل ػبهلی بی ؾیؿتن 2000، Linux Solaris .گطفت ثرز الؼیت نضت




ث اقبض و اؾت ثبؾتبى یبى اؾبیط اظ ثطگعیس Kerberos بم زض اظ زاضز قیط قجی یبلی افؼی قىل ث ؾط ؾ ثب قطظ ؾگی .قس ذبضج آدب اظ تاس زظذیبى تب وس هی گجبی زظخ

ؾ ثب آضایكی پطتىل، ایي ثب وي اؾض ایي هكتطن خ اظ ثبیس تطتیت ث وبضثط ط و اؾت AS، TGS Server هؤلف

زضافؿب .ثبقس ذبل ؾطیؿی زضیبفت ث لبزض تب ثگیطز هدظ آب وكت ضا وطثطؼ ذبى، زاظز اظ یبظزن ذاى زض طول ب

چ ضا اهیت زیبی وطثطؼ !ثطز اضؾتیؼ عز ضا ا ؾطبیویؿت؟ طول آى ثطز هی ؾط وؿی




وطثطؼیػگیبی ػوهی ثزى ػوهی(Common)

هتوطوعزض هحی تظیغ قس وطا ثب ؾطضبی هتوطوع غیطت اهی(Security)

ازػبی انلیبى یاو(Reliability)

.اویبى اظ فؼبل ثزى و ؾطیؽ ب ثطای وبضثطاى هدبظت قفبفی(Transparency)

ولو قبؾ»ؿتن ؾبز یه ؾیؿتن ضا وبس یس ؾیوبضثطاى ثب. سیثج«ػجض

یطیبؼ پصیهم (Scalability)لبثلیت وبض ثب تؼساز ظیبزی هبقیي وبضثط وبضگعاض




وطثطؼ للوط

اظ ثركبی ظیط تكىیل قس اؾتوطثطؼ للوط:وبضگعاض وطثطؼ –وبضفطهبیبى –Application Serversوبضثطزی وبضگعاضاى– وبضگعاض وطثطؼ گصضاغ توبم وبضثطاى ضا زض پبیگب زاز

.ذز زاضزولیسی هرفی ث وبضثطزی وبضگعاض وطثطؼ ثب ط وبضگعاض

.اقتطان گصاقت اؾت هیجبقس حظ هسیطیتیهؼوال ط للوط هؼبزل یه.




طهخزیت هتمبيی ؾطیؽثبیسیت ذزضا اثجبت وس

طؾطیؽ زس زاضای ولو ػجضاؾت تحت ظاث ذبنی ؾطیؽ هی زس

KERBEROSاصول

هطحل الیي زض وبضثط ط فم «ؾیؿتن ث ضز»اظ

وس، هی اثجبت ضا ذز یتاظ گطفتي ؾطیؽ ثطای لی

ثبیس زس ؾطیؽ ط وس اذص ای خساگب هدظبی

س ز

ؽ طی

ؾت

یاظ

حطا

س ز

ؽ طی

ؾ

ضثلیس

ن

س ز

ؽ طی

ؾى

قج

AS TGS Serverآلیس

A1

( , ( , ))A s TGS sK K K A K2

3

( , ), , ( )TGS s sK A K B K t4

( , ), ( , )s AB B ABK B K K A K

5

( , ), ( )B AB ABK A K K t

6

( 1)ABK t

آغبظ كؿت

A B

ظهبىظهبى




ثلی

زض الغ ػی گای اؾت و گبم ضز وبضثط ث للوط ث ا زاز هی قز و ثیبگط اػتجبض ا ثطای وطثطؼ

.زؾتطؾی ث هبثغ قجى هی ثبقس




1بلي یزافعایف ایوی

یس ثب بم وبضگعاض اػب وس ثلیه وبضگعاض خسیاؾتفبز اظ –TGS: Ticket Granting Server

احطاظ یتوبضگعاض، AS ،ووبوبى خز زاضز ..تؾ آى نبزض هی قز ticket-granting ticket« یثل اػبء» یثل–بی اػبء ذسهبت تؾ یاگطچ ثلTGS كسینبزض ه.

service-granting ticket« ذسهبت اػبء» یثل–

احطاظ یتبم وبضگعاض یثب ضهع وطزى پ اختبة اظ اتمبل ولو ػجض (AS) ثس هكتك قس اظ ولو ػجضیوبضفطهب تؾ ول




1بلي یزافعایف ایوی

ضز ثسل Log onه ز ث اظاء ط خلؿ یقوبض یبهبیپ. كسیهقوبض ؾ چبض ث اظاء ط ع ذسهبت ضز ثسل یبهبیپ.كسیه.كزیبم قوبض پح ث اظاء ط خلؿ ذسهبت ضز ثسل هیپ

.1Client AS: IDClient || IDTGS

.2AS Client: EKClient [TicketTGS]

.3Client TGS: IDClient || IDServer || TicketTGS

.4TGS Client: TicketServer

.5Client Server: IDClient || TicketServer




1بلي یز یب یػگی

زض اؾبؼ ث زجبل سف . ز ثلی نبزض قس ؾبذتبض هكبثی زاضس.احسی ؿتس

ضهعگبضیTicketTGS خت احطاظ یت.تب وبضفطهب هی تاس ث ثلی ضهعقس زؾتطؾی پیسا وس– توبهیت ضهع وزى هحتای ثلیب(Integrity )ضا فطان هیىس. اؾتفبز اظ هط ظهبی(Timestamp) زض ثلیب آب ضا ثطای یه ثبظ

.ظهبی تؼطیف قس لبثل اؾتفبز هدسز هیىسظ اظ آزضؼ قجى ثطای احطاظ یت ثط هیگیطز .

. هیكز (Spoof)چساى خبلت یؿت ظیطا آزضؼ قجى خؼل –ثب ایي حبل، زضخ ای اظ اهیت هیب هی قز–




1بلي یزمب يؼف

ثلیبهكىل ظهبى اػتجبض:یبظ ث زضذاؾت بی ظیبز گصضاغ: ظهبى وتب – حول تىطاضذط : ظهبى ثلس – تؾ وبضگعاضػسم احطاظ یت : یت قبؾی یىؿی

فطهبوبضهدبظغیطوبضگعاضضؾیسى زضذاؾت ب ث یه –




تمامی با TGSکلید

رمس شد اود

TGSثلی

ولیس خلؿ وبضفطهب ثیي

TGS

قبؾوبضفطهب آزضؼ

وبضفطهب قبؾTGS

هط ظهبی

زض اػتجبض ثلی




فطهبتبیح ایي هطحل ثطای وبض

اظ «اػبء ثلی»ثلی ثسؾت آضزى اهيAS

ثسؾت آضزى ظهبى امبی ثلی(TS2)

وبضفطهباهي ثیي ولیس خلؿثسؾت آضزى TGS




«اػبء ذسهبت»ثسؾت آضزى ثلی

Server Client

3.

TicketServer=

EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]

AuthenticatorClient=

EKClient,tgs[IDClient|AddrClient|TS3]

4.

( , ), , ( )TGS s sK A K B K t

( , ), ( , )s AB B ABK B K K A K




تمامی با کلید کارگزار رمز

شده اند

وبضگعاضثلی

ولیس خلؿ وبضفطهب ثیي

وبضگعاض

قبؾوبضفطهب آزضؼ

وبضفطهب قبؾTGS

هط ظهبی

زض اػتجبض ثلی




اػتجبض به وبضفطهب

شناسهکارفرما آدرس

کارفرما

مهر زمانی

تمامی با کلید جلسه رمز

شده اند




فطهبتبیح ایي هطحل ثطای وبض

اػتجبض یهخلگیطی اظ حول تىطاض ثب اؾتفبز اظیىجبض ههطف و ػوط ( Authenticator)به

.وتبی زاضزثسؾت آضزى ولیس خلؿ ثطای اضتجب ثب ؾطض




ذسهبت ؾطضزؾتیبثی ث

Client Server

5.

6.

( , ), ( )B AB ABK A K K t

( 1)ABK t




Kerberosيؼف بی

ث ذط افتبزى ؾطیؽ گط هؼتوس هطوعی، ظیبى ثبض اؾتظیطا اى همبزیط ؾطی یل الوست وبضثطاى ضا گساضی

وطثطؼ ؿجت ث حوالت اغ به ای ثطای . هی وس.حسؼ گصض اغ ب آؾیت پصیط اؾت

وطثطؼ ؾطیؽ بی ػسم اىبض ضا فطان وی وس .(اهببی ضلوی)




Kerberos V5

زاضای TGSزض ایي ؿر ط ثلی نبزض تؾ ؾطیؽ زس :هحتیبت ظیط اؾت

قبؾ وبضثطیوبزیي ؾطیؽ زس بمهبقیي هكتطی آزضؼكت ولیساػتجبض ثلی ظهبىظهبى هط




Kerberos V5هعیت بی

ثطای ایى وطثطؼ لبثلیت گؿتطـ زض ؾح قجى بی ثؿیبضثعضي ضا زاقت ثبقس ؾؼی قس و ول قجى ث نضت ؾلؿل

هطاتجی زض لبلت چسیي للوط ثطای ذزـ یه ؾطیؽ زس AS TGS زاضزو ثبض وبضثطاى للوط ذز ضا ث زـ هیىكس.گصاضی وبز اظ ب زاز تنیف ثطای ASN.1 قس اؾتفبز

اهىبى ثطز ثیي اظ DES ث اثؿتگی قس ؾؼی اؾت.ثبقس زاقت خز ؾیؿتن زض هتمبضى ضهعگبضی

وبضثط آظهبیف قس ث اثجبت 280000وبضایی ایي ؿر ثب.ضؾیس اؾت

احطاظ یت ثب اؾتفبز اظ ضهعگبضی ولیس ػوهی

اهي ضقی ث ضا افطاز ػوهی ولیسبی ثتاى ای قجى زض گب ط ثط هجتی تط ؾبز ضقی ث ضا یت احطاظ تاى هی آضز ثسؾت

.وطز ؾبظی پیبز ػوهی ضهعگبضی

زیدیتبل گایبه نسض اظ تاى هی ضـ ایي اػوبل ثطای X.509 ؾیؿتن PKI وطز اؾتفبز.







سريیس دىد تزیع کلید عممی

آلیسباب

تمبيبی زضیبفت ولیس ػوهی ثبة

دریافت کلید عممی یا گایىام باب

آغبظ كؿت

A B

3

تمبيبی زضیبفت ولیس ػوهی آلیؽ 4

7

BE

( , )B AE A R

AE

زضیبفت ولیس ػوهی آیب گایبه لیؽ 5

( , , )A A B SE R R K

( )S BK R

ظهبى ظهبى

تید گیطی

هىبیعم تطیي ضایح اظ قس هؼطفی بی ضـ توبم زض وبهپیتطی بی قجى زض اؾتفبز هضز بی

Kerberos اظ تطویجی الىتطیه تدبضت 5 RSA هبس (بهتمبضى)ػوهی ولیسبی اظ اؾتفبز

Kerberos ضـ اهیت و اؾت ض ث ضا 5.زس هی افعایف قبیبی

هقذه

تشخسداس ای یظ اویت اص ا سایت دذگاى تسع هیاى دس الکتشیک تجاست اهیت ڇفظ WEBتذیذات تا غڇیڇ دقیق هقاتل ا سایت پزیشی آسیة دفع گش دس اهش ایي است

APPLICATION است. آا تشیي هن اص یکی گیشد هی غست تشاه سغڇ دس ا ڇول اص تسیاسی SQL

INJECTION گیشد هی قشاس ڇول هسد سایت داد پایگا ڇول ع ایي دس .است.هجاص غیش ضکل ت ا داد ت دستیاتی فشد یت جعل تشای هاقع اص تسیاسی دس ڇول ایي

.سد هی کاس ت الیي تاس ڇولSQL PIGGYBACKING یاSQL INJECTION دس ااخش سال

.هغشڇ ضذ 1998 دسغذ اص 10جام ضذ طاى داد ک تیص اص ا 2007تا 2002عثق تشسسی ایی ک اص سال

دسغذ اص ایي 20تد SQL INJECTIONکل آسیة پزیشی ا هشتط ت .آسیة پزیشی ا هشتط ت اعتثاسسجی داد است

دسغذ اص ب سایت ا دس هقاتل ایي ڇول آسیة پزیشذ 16عثق تشسسی ای اخیش.

ای تجاست پزیش سایت ای آسیة قسوتالکتشیک

تخص ثثت نام و ویرایص اطالعات-1

ای تجاست الکتشیک پزیش سایت ای آسیة قسوت

تخص ثثت نام و ویرایص اطالعات-1

دستکاسی سدی کاستشاى،:هکانیسن حولهSecond Order Injection تا استفاد اص ایي هکایسنایی ک تشاه ای خاظ دس ایي قسوت تعضی اص هڇذدیت تاى تا ثثت ام یک کاستش ت سش هی

.کذ سا دس صد یس اعوال هی

ای تضسیق،تعشیف ضوای تاک اعالعاتی،اضاف یا تعشیف داد،گزس کشدى تطخیع پاساهتش: هذف حولهاص اڇشاص یت،اجشای دستسات

هایی از حوالت نوونه: Union Query, Piggy Backed Query تاتع،..

قشاس دادى یک گشداذ ی پایگا داد ی اهي :های هقاتله روش،Lock Down دسSql Server، اعتثاسسجی ا،Store Procedureاستفاد اص استفاد اص عثاست ای آهاد ، ساصگاسی پیغام خغاا،

اتػاالت تا کوتشیي ڇق دستشسی ا، سدی


ورود اعضا-2


ورود اعضا-2دستکاسی سدی کاستشاى، :هکانیسن حولهSecond Order Injection

تطخیع پاساهتشای تضسیق، :هذفperforming database fingerprinting تعشیف، performing denialا، ، اضاف یا دستکاسی داد Extracting Dataضوای پایگا داد،

of service ،avoiding detection ،By passing authentication ،Executed remote command

ای تاذ ت کاس تشد ضد ت خػظ ڇول ا سا هی ی ڇول و: هایی از حوالت نوونهاستفاد اص استتاج

ساصگاسی پیغام خغاا،پایگا داد ی اهي قشاس دادى یک گشداذ ی :های هقاتله روش ، ،Escaping Table Name، ا اعتثاسسجی سدی ا،Store Procedureاستفاد اص

اتػاالت تا کوتشیي ڇق دستشسی ،ای سیستوی عذم دستشسی ت فایل


تعاهل تا تانک صاحة حساب، وارد کردى اطالعات -3حساب


تعاهل تا تانک صاحة حساب، وارد کردى اطالعات حساب -3

دستکاسی سدی کاستشاى، :هکانیسن حولهSecond Order Injection

ای تضسیق،تعشیف ضوای تاک اعالعاتی،اضاف یا تعشیف تطخیع پاساهتش :هذف حولهدسی اص تطخیع Remotesداد،گزس کشدى اص اڇشاص یت،اجشای دستسات

هایی از حوالت نوونه:Union Query, Piggy Backed Queryتاتع، Illegal/Logically Incorrect Queries..و

ساصگاسی پیغام خغااقشاس دادى یک گشداذ ی پایگا داد ی اهي :های هقاتله روش ،، Sqlدس Escaping Table Name، Lock Down، ا اعتثاسسجی سدی Server ،

استفاد اص عثاست ای آهاد


کوکی -4


کوکی-4

ا رخیش گشد ا اگش اعالعات فشد دسى آى ڇول ت ککی :هکانیسن حوله.

هذف حوله Performing Privilege Escalation: گزس کشدى اڇشاص،ا ا، تذست آسدى هقذاس داد یت

هایی از حوالت نوونهpiggy backed query, tautology :

ا اعتثاسسجی سدی :های هقاتله روش ، Lock Down دسSql Server ، استفاد اص عثاست ای آهاد ، اتػاالت تا کوتشیي ڇق دستشسی


5-URL


5-URL

فر ت هتغیشای سشس :هکانیسن حوله

جت فویذى سطى تاک ،ع تاک ،ضوای تاک،تطخیع پاساهتشای : هذف حولهPerforming Denialا، تضسیق،تذست آسدى هقذاس داد Of Service

هایی از حوالت نوونه: Union Query, Tautology, ،Legal/Logically Incorrect Queries،Piggy Back Query ای صهای ، استفاد اص قف

ساصگاسی پیغام خغاا، پایگا داد ی اهي قشاس دادى یک گشداذ ی :های هقاتله روش ،ای عذم دستشسی ت فایل ،Escaping Table Name، ا اعتثاسسجی سدی

ای آهاد سیستوی،استفاد اص عثاست


اتخاب کاال سثذ خشیذ -6


اتخاب کاال سثذ خشیذ -6

دستکاسی سدی کاستشاى :هکانیسن حوله

اضاف تغییش دستسات،اجشای دستسات :هذفRemote تطخیع پاساهتشای،تضسیق

هایی از حوالت نوونه :Union Query ، ا،تاتعStore Procedure ا

ا ساصگاسی پیغام خغاا، اعتثاسسجی سدی :های هقاتله روش ،Escaping Table Name، استفاد اص ای آهاد، استفاد اص عثاستStore Procedureا


پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث -7هوضوع، پیام خصوصی پیراهوى


هوضوع، پیام پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث پیراهوى -7خصوصی

دستکاسی سدی کاستشاى: هکانیسن حوله

ا،اجشای دستسات اضاف تغییش داد :هذف حولهRemote

تاتع : هایی از حوالت نوونهStore Procedure ا

قشاس دادى یک گشداذ ی پایگا داد ی اهي :های هقاتله روش،Lock Down دسSql Server، ،استفاد اص استفاد اص عثاست ای آهاد ، ساصگاسی پیغام خغااStore

Procedure،اتػاالت تا کوتشیي ڇق دستشسی ا، اعتثاسسجی سدی ا


جستجوی کاال -8


جستجوی کاال -8

دستکاسی سدی کاستشاى: هکانیسن حوله

ا، تذست آسدى ضوای تاک،تذست آسدى هقذاس داد: هذف حولهPerforming Denial Of Service

تاتع : هایی از حوالت نوونهStore Procedure ا

قشاس دادى یک گشداذ ی پایگا داد ی اهي :های هقاتله روش،Lock Down درSql Server، ،استفاد اص استفاد اص عثاست ای آهاد ، ساصگاسی پیغام خغااStore

Procedure،اتػاالت تا کوتشیي ڇق دستشسی ا، اعتثاسسجی سدی ا

Injection Sqlی هذلی جت هقاتل تا اسائ

Injection Sqlی هذلی جت هقاتل تا اسائ

هذیریت پایگاه داده-1پایگا داد ی اهي قشاس دادى یک گشداذ یLock Down دسSql Serve

اتصال ته پایگاه داده -2استفاد اص عثاست ای آهادساصگاسی پیغام خغاا استفاد اصStore Procedureا.

ترناهه نویسی ترناهه وب تجارت الکترونیک -3اتػاالت تا کوتشیي ڇق دستشسیای سیستوی عذم دستشسی ت فایل غیش فعال کشدىAdhocا اعتثاسسجی سدیEscaping Table Nameا ت پایگا داد هذیشیت سغڇ دستشسی

یی ت هذیشاى سایتتغی ا

ی سیةپزیشآک یچگ کذ ڇاغل ى عویاا Sql Injection گش تواهی اک ڇتی ا چشاسذ؛ ذل اـڇسص دس ـتسصذ ـجذی ت کالـهطام کذ، ذـقآى اع ـفست ـجد دس شـضاسایی کت سا هطکال

. تذـسد اـیجای اص گیشـجلای شـت Sql Injection د ستفا اذـضی هتشسااـپی اـاسشضـگاص ـت کـسب اـخ

.ضدای پشداخت الکتشیک آضا تاضذ ضد تا ت پشتکلای جذیذ سیستن وچیي تغی هی

.پشتکلای هسد استفاد خد سا ت سص کذدس ضوي تایذ اص اهیت پشتال پشداخت تاک اعوییاى کاهل داضت .ای اڇتوالی اضی اص ڇول تاذ دس تسیاسی اص هاسد خساست عال تش آى آضایی تا قایي ڇققی هی

. سا جثشاى کذست ک اهن س وچیي تسیا Security Fix دتاضسص ت.تست ی پیکشتذسی دس اص کتشل، شـغیشضی اـفیکاتشدى کشک تالای تشسا تص اسآیی دفیلتشا

. ـذ تلکـي ضـهاتش ـعالعاتی تیطی اک تاک اد تا تاعث هیضس یيکاا. ضدددهي گشایضذ کل ضثک ـهعث تات عاى هثال. پزیش سایت است استفاد اص اتضاسای هتفات تشای تطخیع قاط آسیة: Sqlbrute

Acunetix،(دذ پزیش دس تشاتش ڇوالت کسکسا سا تطخیع هی قاط آسیة) Web

تیج

ای تجاست هثاڇث هشتط ت تشقشاسی اهیت دس دیای هجاصی ت خػظ سایتعسیک تایذ کلی اهکاات قای ای تشخسداسذ، ت الکتشیک اص اویت یظ

.کاس گشفت ضد تا اص جشاین هجاصی جلگیشی ضد ڇققی دس کاس اهکاات فی ت تسیاسی اص فرایی ک ت یکWeb Application ضد اضی اص قع، هی

.تاضذ یسی ضعف تاک اعالعاتی هی ای تشاه ڇفش دس سالای اخیش هوتشیي ڇوالت ت پایگا داد هخػغا دس هسد سایتا تا قاتلیت

پشداخت الکتشیک کاستای کشیذیت

ت کاس گیشی الگسیتنKerberos ت دلیل ت کاسگیشی تلیظ تاعث هی ضد تشاه. هقام ضد sql Injectionکاستشدی دس هقاتل

هبثغ• Roger Needham, Michael Burrows , Martin Abadi ; A logical of Authentication;

ACM Transaction on computer System , Vol.8,No.1

• Andrews . Tanenbaum , Computer Networks, Fourth Edition,2003

• Matthew Strebe, Foundation Network Security,2004

• Kachakil D, 2009, Sfx-SQLi (Select For Xml SQL Injection)• Thomas S , Williams L, Xie T, 2008, On Automated Prepared Statement Generation To Remove SQL Injection Vulnerabilities, Information And Software Technology , • Chris A , 2002,Advanced SQL Injection, An Ngssoftware Insight Security Research (Nisr) Publication• Halfond W, Viegas J, Orso A,2006,A Classification of SQL Injection• Mitropoulos D, Spinellis D, 2008, Sdriver: Location-Specific Signatures Prevent SQL Injection Attacks, Compute R S & S E C U R I T Y Xx X ( 2 0 0 8).

• Malware Detection, 2007,Chapter2,Halfond W And Orso A,”Detection And Prevention Of SQL Injection Attacks”, Springer Us, Volume 27, Isbn978-0-387-32720-4 (Print) 978-0-387-44599-1 (Online)

Documents

Authentication