دا مقاله به د اوقرې اودا زیانونو سره معامله وکړي. لوستونکي به په ویب غوښتنلیک کې د خوندي او خوندي واک ورکولو په اړه هم زده کړي.
اوتت یو معتبر پروتوکول دی، مګر د دې امنیت درجې په لویه کچه د ویب انګریزیو په اړه تړاو لري کله چې پلي کونکي اجازه لري. دا د معلوماتو امنیتي مسلکونکو لپاره دا موضوع خورا مهم کوي. دوی اړتیا لري د خپلو کاروونکو د توکو د حسابونو لوړه کچه چمتو کړي. اوس وخت دی چې د مؤثره وکیلانو سره اشناعت ترلاسه کړو څوک چې به د ضعیف پلور اوټو خطر کمولو کې مرسته وکړي.
سریزهد اوتوټ 2.0 پروتوکول اوس مهال په مختلفو غوښتنلیکونو کې په پراخه کچه کارول کیږي. د دې په کارولو سره، د کاروونکي کاروونکي انټرچر شتون لري، د کارن نوم او پټنوم ته د ننوتلو لپاره د دودیزو میتودونو په پرتله خورا اسانه اعتبار او اختیار په پرتله. د مناسب او فکر کولو پلي کولو سره، د OAutT پروتوکول به د دودیزو اختیار څخه خوندي وي، ځکه چې کارونکي اړتیا نلري چې خپل حساب ته اړتیا ونلري چې ځانګړې سرچینې ته لاسرسي لپاره د دریمې ډلې غوښتنلیک سره خپل حساب ورکونې ډاټا سره شریک کړي. کارونکي اکثرا د دوی د ګوګل حسابونو، فېسبوک یا لینکینټ په کارولو سره ګوري چې د نوي حساب رامینځته کولو پرځای تاسو اړتیا لرئ په ځینو ویب پا on ه کې راجسټر شئ. په دې توګه، د اوت پروټوکول په لویه کچه زموږ ژوند اسانه کړ.
په عموم کې، د مشهور اوت خدمت چمتو کونکي خورا د باور وړ دي. د ګوګل یا فېسبوک حساب سره ننوتل د امنیت یو ټاکلی احساس ته هڅول، او دا سمه ده. پروټوکول د ماهرینو لخوا په احتیاط سره ازمول شوی. ټولې موجود شوي زیان منونکي تل ګړندي د پراختیا کونکي ټیم لخوا سم شوي. په هرصورت، دا د یادونې وړ ده چې د بشپړ خوندیتوب احساس غلط کیدی شي.
د اوتوټ خدماتو چمتو کونکو ته د غوښتنلیک پراختیا کونکو ته ډیری دلایل د خپلو برنامو د خوندیتوب لپاره د فکر کولو ډیری دلایلو پریښودو ډیری دلایل. په حقیقت کې، په پیل کې محافظت شوی د Offer محافظت خدمت په مناسب ډول د دې د نصب کولو پروسې کې پلي کیږي، د برید کونکو لپاره اسانه هدف کیدی شي. دا ډول قابلیت به د کاروونکو شخصي معلوماتو لامل شي.
بل، تاسو باید د دریمې ډلې غوښتنلیکونو کې د مخ کیدو ترټولو عام زیان منونکي په پام کې ونیسئ چې د اوپل پروټوکول پلي کولو لپاره د OAAT پروتوکول پلي کوي چې د دوی کاروونکو ته اجازه ورکوي. دا باید په یاد وساتل شي چې پروتوکول پخپله خوندي او د باور وړ دی. یوازې د غلط پلي کیدو وروسته، دا د هیککر بریدونو زیان منونکي کیږي.
د ریفیر سرلیک په کارولو سره د اوت تواککي غلاکله چې غوښتنلیک د OATT سرور کې د کارونکي په استازیتوب د واکو غوښتنه کوي، یو شخص دا کوډ ترلاسه کوي ترڅو د ننوتلو لپاره دننه شي او د راتلونکي چیک لپاره سرور ته بیرته ورکړي. که چیرې د کار په جریان کې کارونکي به بلې پا to ې ته اړول شي، کوډ به د HTTP غوښتنې سرلیک کې لیدل کیږي. په دې توګه، کوډ به په بهرني ویب پا on ه کې راښکاره شي، کوم چې به د OAutut سرور کې ثبت شوي کاروونکي ډاټا ثبت کړي.
یادونه: د ریفیر سرۍ د HTTPH د HTTPHAPS سر دی، دا د یو آر ایل کوربه لیږدوي چې غوښتنه لیږل کیږي.
د دې زیان مننې پایله، پراختیا کونکي باید ډاډ ترلاسه کړي چې د ګورتیال غوښتنلیک هیڅ HTML انجیکشن نه لري. که انجکشن وموندل شو، برید کونکي کولی شو برید کونکي خپل ویب سرور ته د عکس ټګ په اسانۍ سره تنظیم کړي او د کارونکي د ماتولو لپاره یوه لاره ومومي او د کارونکي د ماتولو لپاره یوه لاره ومومي. پدې توګه، هغه به فرصت ترلاسه کړي چې د HTTP غوښتنې سرلیک څخه کوډ غلا کړي.
د رییتیک توککی غلا د ریډریټ_روري پیرامیټر په کارولو سرهکاریال د اوت سرور ته د غوښتنې په لیږلو سره د واک ورکولو پروسه پیلوي:
https://www.efexmple.com/srancush.com/auteninee/autranizee؟
پوښتنه د OANUL سرور لخوا کارول کیږي "ریډریټ_وري" پیرامیټر شتون لري کله چې کاروونکي خپله رضایت ورکړ. که چیرې د دې پیرامیټر ارزښت ونه ساتل شي یا نه ډک شي، برید کونکی کولی شي دا بدل کړي او غوښتنه یې د ولسمشرۍ او محدود سرچینو ته د لاسرسي لپاره ځانګړي برنامه کاروي.
https://www.exumple.com/sranine/autoreveee؟ wardired_urie
ځینې وختونه ورته URL بلاک شوي دي. برید کونکی کولی شي ترلاسه شوي معلومات په خلاص ULL کې وګرځي، لکه:
https://www.exumple.com/auvich20_Autord.com 'لمیر
یا دا:
https://www.exumple.com/ouout2/veutaze؟ [...]
کله چې د اوت پلي کول، تاسو نشئ کولی په سپینه لیست کې ټول ډومینونه شامل کړئ. یوازې یو څو آرټ ایلونه باید د "ریډریټ_وري" ته اضافه شي چې د ریډریټ خلاصولو غوښتنه نه کوي.
د کراس کرښې غوښتنې جعل کولد یوې هڅونې غوښتنې جعل کول ممکن پیښ شي کله چې برید کونکي د قرباني په کلیک کولو کې بریالي شي او پدې توګه، هغه به رامینځته نه کړي. د کراس کرښې غوښتنې جعل کول معمولا د CSRF نښه سره نرم وي، کوم چې د کارونکي ناستې سره تړاو لري. دا د غوښتنلیک سره مرسته کوي ترڅو د هغه چا چا وګوري چې غوښتنه یې لیږلې. د OAut پروټوکول کې د "دولت" پیرامیټر د CSRF نښه په توګه دنده ترسره کوي.
د لید لید په لیدو کې د CSRF برید څنګه په اوتوټ او لکه څنګه چې "دولت" پیرامیټر د زیان مننې اغیزو کمولو لپاره کارول کیدی شي.
هیکر د ویب غوښتنلیک پرانیزي او د وقفې په کارولو سره خدمت چمتو کونکي ته لاسرسی لپاره د واک ورکولو پروسه پیل کوي. غوښتنلیک ته د لاسرسي غوښتنې غوښتنه کولو غوښتنه کوي چې ورته چمتو کیدو ته اړتیا ولري. هیککر به د خدماتو چمتو کونکي ویب پا to ې ته اړول کیږي، چیرې چې تاسو معمولا د لاسرسي اختیار کولو لپاره خپل کارن نوم او رمز ته اړتیا لرئ. پرځای یې، هیکر د دې غوښتنې مخه نیسي او د دې غوښتنې مخه نیسي او خپل URL یې خوندي کوي. هیکر یو څه لامل کیږي چې قرباني د دې یو آر ایل خلاص کړي. که قرباني د خپل حساب په کارولو سره د خدمت چمتو کونکي سیسټم ته ننوتئ، نو خپل اسناد به د اختیار کوډ صادرلو لپاره وکارول شي. د واک ورکولو کوډ د لاسرسي نښه ته لاسرسي تبادله کوي. اوس په غوښتنلیک کې د هیکر حساب باوري شوی. دا کولی شي د قرباني حساب ته لاسرسی ومومي.
نو، زه څنګه کولی شم دا وضعیت د "دولت" پیرامیټر په کارولو سره مخه کړم؟
غوښتنلیک باید یو ارزښت رامینځته کړي چې د سرچینې حساب پراساس وي (د مثال په توګه، د کارونکي ناستې مخلوط وکاروئ). دا دومره مهمه نده چې دا څه شی دی، اصلي شی دا دی چې ارزښت ځانګړی دی او د اصلي کارونکي په اړه د خصوصي معلوماتو په کارولو سره تولید شوی. دا د "دولت" پیرامیټر ته ټاکل شوی دی.
دا ارزښت د خدمت چمتو کونکي ته لیږدول کیږي کله چې وګرځول شي. اوس دا هیکر قرباني ته بلنه ورکوي چې URL خلاص کړي، کوم چې هغه ساتلی و.
د واک ورکولو کوډ ورکړل شوی او بیرته د "دولت" پیرامیټر سره په ناسته کې پیرودونکي ته واستول شو.
پیرودونکي د غونډې په معلوماتو پراساس د پیرامیټر ارزښت تولیدوي او دا د "دولت" ارزښت سره پرتله کوي چې د بریښنالیک چمتو کونکي ته بیرته لیږل شوی و. دا ارزښت په پوښتنه کې د "دولت" پیرامیټر سره سمون نه خوري ځکه چې دا یوازې د اوسني غونډې په اړه د معلوماتو په اساس رامینځته شوی. د پایلې په توګه، ترلاسه شوي ارزښت د سیسټم لخوا نه منل کیږي.
د عالمانو پلي کولو په وخت کې نور زیانونه کشف شوي (د اوسط سایټ سکریټینګ) پیرامیټر، د ګرځنده غوښتنلیک ضایع کول (کله د واک ورکولو کوډ کولی شي د ډیری لاسرسي توکیو څخه د یو ځل څخه ډیر وکارول شي). د دې زیانونو څخه لږ معمول دی چې پورته یادونه شوي، مګر دا دوی لږ خطرناک نه کوي. پراختیا کونکی باید د خپل ویب غوښتنلیک معتبر کړنو تضمین لپاره ټول اړین کړنالرې وپیژني.
د ژباړل شوې مقالې لیکوال: سیمون سلکي.
مهم! یوازې د اکاډمیک اهدافو لپاره معلومات. مهرباني وکړئ د قانون سره مطابقت وکړئ او دا معلومات د غیرقانوني اهدافو لپاره نه پلي کړئ.
په سیسیلباب کې نورې په زړه پورې توکي. موږ ته ګډون وکړئ: فېسبوک | vk | ټویټر | انسټاګرام | ټیلګرام | زین | میسنجر | ICQ نوی | یوټیوب | نبض