يوچۇق OAuth | تور ئىلتىماسىدا بىخەتەر ھوقۇقنى قانداق يولغا قويۇش كېرەك

بۇ ماقالە داڭلىق سائۇت يوسۇنلىرى بىلەن بىر تەرەپ قىلىدۇ. تالىغۇچىلار يەنە تور قوللىنىشچان پروگراممىسىدىكى بىخەتەر ۋە بىخەتەر ھوقۇقنى قانداق يولغا سېتىشنى ئۆگىنىدۇ.

OAuth ئىشەنچلىك كېلىشىم بولۇپ, ئۇنىڭ بىخەتەرلىكى ئاساسىدا تور مۇرەككەپنى يولغا قويسا, پۈتۈشكەن تونۇشقا باغلىق. بۇ بۇ تېمىنى ئۇچۇر بىخەتەرلىك كەسپىي خادىملىرىغا ئىنتايىن مۇھىم. ئۇلارنى ئۇلارنىڭ ئابونتلىرىنىڭ ھېساباتىنى يۇقىرى دەرىجىدە قوغداش كېرەك. OAuth سېتىش كەمچىل بولغان ئۈنۈملۈك كەسىپكارلار بىلەن تونۇشلۇق.

تونۇشتۇرۇش

OAuth 2.0 كېلىشىم, ھازىر ھەر خىل قوللىنىشچان پروگراممىلاردا كەڭ كۆلەمدە ئىشلىتىلىدۇ. ئىشلەتكۈچى نامى ۋە پارولىنى كىرگۈزۈشنىڭ ئەنئەنىۋى ئىشلەتكۈچى كۆرۈنمە يۈزىگە سېلىشتۇرغاندا, قۇلايلىق ئىشلىتىش ۋە ھوقۇقنى ساقلىغان. مۇۋاپىق ۋە تەپەككۇر يولغا قويۇش بىلەن Outouch كېلىشىمى ئەنئەنىۋى ئىجازەتنامەدىن تۆۋەن بولىدۇ, چۈنكى ئىشلەتكۈچىلەر ئاساسلىق مەنبەگە ئېرىشىش ئۈچۈن ئۈچىنچى تەرەپ پروگراممىسى بىلەن ئورتاقلىشىشقا بولمايدۇ. ئىشلەتكۈچىلەر دائىم گۇگۇلنىڭ Google ھېساباتىنى ئىشلىتىپ كىرىشنى, ھەر بىر تور بەتكە تىزىملىتىشى كېرەك. شۇڭا, OAuth ۋاكالەتچىلىرى بىزنىڭ ھاياتىمىزنى ئاددىيلاشتۇردى.

ئومۇمەن قىلىپ ئېيتقاندا, ئاممىباب OAuth مۇلازىمەت بىلەن تەمىنلىگۈچىلەر ئىنتايىن ئىشەنچلىك. Google ياكى Facebook ھېساباتى بىلەن كىرىڭ, مەلۇم بىخەتەرلىك تۇيغۇسىنى قوزغىتىدۇ, ئۇ توغرا. كېلىشىم مۇتەخەسسىسلەر تەرىپىدىن ئەستايىدىل سىناق قىلىندى. بارلىق ئىشلەتكىلى بولىدىغان يوچۇقلار ھەمىشە ئاچقۇچىلار گۇرۇپپىسى تەرىپىدىن تۈز بولىدۇ. قانداقلا بولمىسۇن, دىققەت قىلىشقا ئەرزىيدىغىنى شۇكى, مۇكەممەل بىخەتەرلىك تۇيغۇسى يالغان بولۇشى مۇمكىن.

OAuth مۇلازىمەت بىلەن تەمىنلىگۈچىلەر IAT پروگراممىلىرى EXIC ئاچقۇچىلارنىڭ پروگراممىلىرىنىڭ بىخەتەرلىكىنى داۋاملىق ئاشۇرۇشنىڭ نۇرغۇن سەۋەبلىرى. ئەمەلىيەتتە, دەسلەپتە ساقلانغان OAutut مۇلازىمىتى, ئورنىتىش جەريانىدا خاتا يولغا قويۇلدى تاجاۋۇزچىلارنىڭ ئاسان نىشان بولۇپ قالالايتتى. بۇنداق ئەرز قىلىش ئىشلەتكۈچىلەر ئابونتلارنىڭ شەخسىي سانلىق مەلۇماتلىرىنى كەلتۈرۈپ چىقىرىدۇ.

كېلەردىن باشلاپ, سىز ئۈچىنچى تەرەپ پروگراممىلاردا قىلىنىدىغان نۇرغۇن كۆپ ئۇچرايدىغان پروگراممىلارنى ئويلىشىشى كېرەك, پروگراممىلارنىڭ ھوقۇق بېرىشى كېرەك. بۇ كېلىشىمنىڭ ئۆزى بىخەتەر ۋە ئىشەنچلىك ئىكەنلىكىنى ئەستە تۇتۇش كېرەك. خاتا يولغا قويۇلغاندىن كېيىن ئاندىن خاككېرلارنىڭ ھۇجۇمىغا ئاسان ئۇچرايدۇ.

Oaputh Tockey The Breater Header ئارقىلىق

ئىلتىماسنى OAAM مۇلازىمېتىرغا ۋاكالىتەن ئىجازەت تەلەپ قىلغاندا, بىر ئادەم كودنى قايتا قۇرۇش ئۈچۈن مۇلازىمېتىرغا كىرىش ۋە ئەۋەتىش ئۈچۈن كودنى تاپشۇرۇۋالىدۇ. ئەگەر ئىشلەۋاتقاندا ئىشلەتكۈچى باشقا بەتكە قايتا نىشانلىنىدۇ, بۇ كود HTTP تەلىپىنىڭ «نامەلۇم» باش باشلىقىدا كود كۆرۈلىدۇ. شۇڭا, بۇ كود سىرتقى تور بېكەتكە كىرىدۇ, شۇ شىركەت OAuth مۇلازىمېتىردا تىزىملاتقان ئىشلەتكۈچى سانلىق مەلۇماتلىرى.

ئەسكەرتىش: ئاشقازان ماۋزۇسى http سوئال قەغىزى ماۋزۇ, ئۇ تەلەپ ئەۋەتىلىدىغان URL ساھىبجامالنى يەتكۈزىدۇ.

بۇ يوچۇقنىڭ ئاقىۋىتىنى تۈزۈش ئۈچۈن, ئاچقۇچىلار ئۇنىڭ Windows پروگراممىسىنىڭ HTML سىلىشىنى ئۆز ئىچىگە ئېلىشى قىلىشى كېرەك. ئەگەر ئوكۇل بايقالسا, ھۇجۇم قىلغۇچى رەسىم خەتكۈچنى تور مۇلازىمېتىرىغا ساقلاپ, ئىشلەتكۈچىنى قايتا نىشانلاش ئۇسۇلى تاپالايدۇ. شۇڭا, ئۇ HTTP تەلىپىنىڭ «ئىمپېرىيىسى» ماۋزۇسىنى ئوغرىلاش پۇرسىتىگە ئېرىشىدۇ.

Oaputh TOCKEY_URI پارامېتىرىنى ئىشلىتىپ

پروگرامما OAuth مۇلازىمېتىرىغا ئىلتىماس قىلىش ئارقىلىق ھوقۇق جەريانىنى قوزغىدى:

https://wwway.com/signin.com/signin/Authorize / CHOWNEIN?

بۇ سوئال ھەمىشە «قايتا نىشانلانغان» پارامېتىر «قايتا قاچىلاش» پارامېتىرىنى ئۆز ئىچىگە ئالغان «قايتا نىشان» سۇنۇشنى ئۆز ئىچىگە ئالغان «قايتا نىشان» پارامېتىرىنى ئۆز ئىچىگە ئالغان «قايتا نىشان» سۇنۇشنى ئۆز ئىچىگە ئالغان «قايتا نىشان» پارامېنتى ئۆز ئىچىگە ئالغان «قايتا نىشان» پارامېتىرىنى ئۆز ئىچىگە ئالغان «قايتا نىشان» پارامېتىرىنى ئۆز ئىچىگە ئالغان «قايتا نىشان» سۇنۇشنى ئۆز ئىچىگە ئالغان «قايتا» پارامېتىر بارلىقىنى ئۆز ئىچىگە ئالىدۇ. ئەگەر بۇ پاراشوتتىن كېيىنكى قىممىتى كونترول قىلىنمىسا ياكى تەكشۈرۈلمىگەن بولسا, ھۇجۇمچى ئۇنى ئىزدەپ ئۇنىڭ نەشرىنى ئۆزگەرتەلەيدۇ, بۇ بەلگە قىلىپ, چەكلىك مەنبەنى بىر تەرەپ قىلىش ئۈچۈن ئالاھىدە پروگراممىنى قوللىيالايدۇ.

http://www of greshapple.com/signin/Authorize ?... ...

بەزىدە ئوخشىشىپ كېتىدىغان URL لار توسۇلىدۇ. ھۇجۇمچى ئوچۇق URL دىكى قوبۇل قىلىنغان سانلىق مەلۇماتنى قايتا نىشانلىيالايدۇ:

https://www.www.example.com/Outhorize.srfe.srf'rume.srfifirect_rusputct_ucixpctpps.com.coDTTOUTPUTPTRETRETURETRY GEVILTPY GEVILTY GEVILTPY GEVIl.com.

ياكى:

% ...-ئاسىيا

Oauth نى يولغا قويۇپ تۇرۇپ, ئاق تىزىملىكتىكى پۈتۈن ساھەڭىزنى ھەرگىز ئۆز ئىچىگە ئالالمايسىز. پەقەت بىر قانچە url «قايتا نىشانلاش» نى قوشۇش كېرەك. قايتا ئېچىشنى تەلەپ قىلىش تەلەپ قىلىنمايدۇ.

ھالقىلارغا ھالقىغان تەلەپلەرنىڭ ساختا

زىيانكەشلىككە ئۇچرىغۇچى زىيانكەشلىككە ئۇچرىغۇچى زىيانكەشلىككە ئۇچرىغۇچىنىڭ ئۆزىنىڭ ئۇلىنىشىنى چېكىش ئۈچۈن زىيانكەشلىككە ئۇچرىغۇچىنىڭ ئورنىنى ئېلىپ, ئۇنىڭغا ئۆزىنىڭ ئىشلەپچىقارماقچى بولغانلىقىنى ئوتتۇرىغا قويغاندا يۈز بېرىشى مۇمكىن. ئۆز-ئارا ئاخىرلىشىش تەلىپىگە ئۇيغۇر تەلىپى ئادەتتە CSRF بەلگىسى بىلەن توسۇلۇپ قالىدۇ. بۇ پروگراممىنىڭ تەلەپنى ئەۋەتكەن كىشىنىڭ بىرىنى تەكشۈرۈشكە ياردەم بېرىدۇ. OATUT كېلىشىمدىكى «دۆلەت» پارامېتىرى CSRF بەلگىسى سۈپىتىدە مۇلازىمەت قىلىڭ.

CSRF ھۇجۇمىدا تۇر, يوچۇقنىڭ تەسىرىدە قانداق قىلىپ «دۆلەت» پارامېتىرىنى ئازايتىشقا بولىدىغان «شىتات» پارامېتىرىنىڭ تەسىرىگە قانداق ماسلىشىدىغان بولۇشى مۇمكىن.

HACKER تور قوللىنىشچان پروگراممىسى ئاچىدۇ ۋە OAuth نى ئىشلىتىپ مۇلازىمەت تەمىنلىگۈچىنى زىيارەت قىلىش ئۈچۈن ھوقۇق بېرىش جەريانىنى يولغا قويدى. ئىلتىماس تەمىنلەنگەن مۇلازىمەت بىلەن تەمىنلىگۈچىنىڭ تەمىنلىنىشى كېرەك. خاككېرلار مۇلازىمەت تەمىنلىگۈچى تور بېتىگە كۆچۈپ كېلىپ, بۇ يەردە زىيارەتكە ھوقۇق بېرىش ئۈچۈن ئىشلەتكۈچى ئىسمىڭىز ۋە پارولىڭىزنى كىرگۈزۈشىڭىز كېرەك. ئۇنىڭ ئورنىغا, خاككېر بۇ تەلەپنى تۇتتى ۋە ئۇنىڭ ئادرېسىنى ساقلايدۇ ۋە ئالدىنى ئالىدۇ. خاككېرلار قاچان زىيانكەشلىككە ئۇچرىغۇچىنى بۇ URL نى ئېچىشنى كەلتۈرۈپ چىقىرىدۇ. ئەگەر زىيانكەشلىككە ئۇچرىغۇچى مۇلازىمەت بىلەن تەمىنلىگۈچىنىڭ سىستېمىنى ئىشلىتىپ, ئۇنىڭ كىنىشكىسى ھوقۇق كودى تارقىتىدۇ. ھوقۇق كودى زىيارەتنى زىيارەت قىلىدۇ. ھازىر پروگراممىدىكى خاككېر ھېساباتى ھوقۇق بېرىلگەن. ئۇ زىيانكەشلىككە ئۇچرىغۇچىنىڭ ھېساباتىنى زىيارەت قىلالايدۇ.

ئۇنداقتا, بۇ ۋەزىيەتنى «دۆلەت» پارامېتىرىدىن ساقلىيالايمەن?

بۇ پروگراممىنىڭ ئەسلى ھېساباتقا ئاساسەن قانداقتۇرنىڭ قىممىتى قۇرۇشى كېرەك (مەسىلەن, ئىشلەتكۈچى SASH كۇنۇپكىسىنى PotH كۇنۇپكىسىنى ئىشلىتىڭ). ئۇنىڭ نېمە ئىكەنلىكى مۇھىم ئەمەس, ئاساسلىق ئىش شۇكى, قىممەت شۇ قىممەت بىردىنبىر ئىشلەتكۈچى ئۆزگىچە ۋە ئەسلى ئىشلەتكۈچى ھەققىدە شەخسىي ئۇچۇردىن ساقلانغان. ئۇ «دۆلەت» پارامېتىرىغا بېرىلىدۇ.

بۇ قىممەتنى قايتا نىشانلاش ۋاقتىدا مۇلازىمەت تەمىنلىگۈچىگە يەتكۈزۈلىدۇ. ھازىر HACKER زىيانكەشلىككە ئۇچرىغۇچىنى ساقلاپ قېلىشىنى كۆرسەتمە بەردى.

ھوقۇق كودى ئېلان قىلىندى ۋە خېرىدارغا «دۆلەت» پارامېتىرى بىلەن ئەۋەتىلگەن.

بۇ خېرىدار يىغىن ئۇچۇرلىرىغا ئاساسەن پارامېتىر قىممىتى ھاسىل قىلىپ, ئۇنى مۇلازىمەت بىلەن تەمىنلىگۈچىگە قايتۇرۇلغان «دۆلەت» بىلەن سېلىشتۇرۇپ بېرىدۇ. بۇ سوئالدىكى «دۆلەت» پارامېتىرى ماس كەلمەيدۇ, چۈنكى چۈنكى بۇ سوئال »پارامېتىرىغا ماس كەلمەيدۇ, چۈنكى چۈنكى بۇ سوئال» پارامېتىرىغا ماس كەلمەيدۇ, چۈنكى چۈنكى شۇنىڭدىن باشلاپ نۆۋەتتىكى يىغىنغا مۇناسىۋەتلىك ئۇچۇرلارغا ئاساسىدا تۇرىدۇ. نەتىجىدە, ئېرىشكەن قىممەت سىستېما تەرىپىدىن قوبۇل قىلىنمايدۇ.

يولغا قويغاندا Oauth نى يولغا قويغاندا باشقا يوچۇقلار بايقالغان باشقا يوچۇقلار Xs تور بېكىتىنى) نى ئۆز ئىچىگە ئالىدۇ ھوقۇق كودى بىر نەچچە قېتىم زىيارەت قىلىش بەلگىسىنى تارقىتىشقا بىردىن كۆپ ئىشلىتىشكە بولىدۇ). بۇ يوچۇق يۇقىرىدا بايان قىلىنغانلارغا كەم ئۇچرايدۇ, ئەمما ئۇلارنى خەتەرلىك قىلمايدۇ. ئاچقۇچى بارلىق زۆرۈر ئادەتلەرنى بىلىشكە, تور ئىلتىماسىنىڭ ساداقەتمەنلىكىگە كاپالەتلىك قىلىش ئۈچۈن بارلىق زۆرۈر ئادەتلارنى سۆزلىشى كېرەك.

تەرجىمە قىلىنغان ماقالىنىڭ ئاپتورى: سىمون سالىبا.

مۇھىم! پەقەت ئىلمىي مەقسەت ئۈچۈنلا ئۇچۇر. قانۇن چىقىرىش بىلەن قانۇنغا ئەمەل قىلىڭ, بۇ ئۇچۇرلارنى قانۇنسىز مەقسەت ئۈچۈن قوللانماڭ.

Cisocleub.ru دىكى تېخىمۇ قىزىقارلىق ماتېرىيال. بىزگە مۇشتەرى بولۇڭ: Vk | Twitter | Instagram | تېلېگرامما | Zen | ئەلچى | ICQF يېڭى | YouTube | تومۇر.