ಈಗ ನಾವು SQL ಇಂಜೆಕ್ಷನ್ನ ಇನ್ನೊಂದು ವಿಧಾನವನ್ನು ಪ್ರಯತ್ನಿಸುತ್ತೇವೆ. ಡೇಟಾಬೇಸ್ ದೋಷ ಸಂದೇಶಗಳನ್ನು ಎಸೆಯುವುದನ್ನು ಮುಂದುವರೆಸಿದೆಯೇ ಎಂದು ನೋಡೋಣ. ಈ ವಿಧಾನವನ್ನು "ವಿಳಂಬಕ್ಕಾಗಿ ಕಾಯಲಾಗುತ್ತಿದೆ" ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ, ಮತ್ತು ವಿಳಂಬವನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಬರೆಯಲಾಗಿದೆ: ವಿಳಂಬಕ್ಕಾಗಿ ನಿರೀಕ್ಷಿಸಿ 00:00:01'. ನಾನು ಇದನ್ನು ನಮ್ಮ ಫೈಲ್ನಿಂದ ನಕಲಿಸುತ್ತೇನೆ ಮತ್ತು ಅದನ್ನು ಬ್ರೌಸರ್ನ ವಿಳಾಸ ಪಟ್ಟಿಗೆ ಅಂಟಿಸುತ್ತೇನೆ.
ಇದನ್ನು "ಬ್ಲೈಂಡ್ ತಾತ್ಕಾಲಿಕ SQL ಇಂಜೆಕ್ಷನ್" ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ. ನಾವು ಇಲ್ಲಿ ಮಾಡುತ್ತಿರುವುದು "10 ಸೆಕೆಂಡುಗಳ ವಿಳಂಬಕ್ಕಾಗಿ ನಿರೀಕ್ಷಿಸಿ" ಎಂದು ಹೇಳುವುದು. ನೀವು ಗಮನಿಸಿದರೆ, ಮೇಲಿನ ಎಡಭಾಗದಲ್ಲಿ ನಾವು "ಸಂಪರ್ಕಿಸುವ ..." ಶಾಸನವನ್ನು ಹೊಂದಿದ್ದೇವೆ, ಅಂದರೆ, ನಮ್ಮ ಪುಟವು ಏನು ಮಾಡುತ್ತದೆ? ಇದು ಸಂಪರ್ಕಕ್ಕಾಗಿ ಕಾಯುತ್ತದೆ ಮತ್ತು 10 ಸೆಕೆಂಡುಗಳ ನಂತರ ನಿಮ್ಮ ಮಾನಿಟರ್ನಲ್ಲಿ ಸರಿಯಾದ ಪುಟವು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ. ಈ ತಂತ್ರವನ್ನು ಬಳಸಿಕೊಂಡು, ನಾವು ಡೇಟಾಬೇಸ್ ಅನ್ನು ಸಂಪರ್ಕಿಸುತ್ತೇವೆ ಇದರಿಂದ ಅದು ನಮಗೆ ಇನ್ನೂ ಕೆಲವು ಪ್ರಶ್ನೆಗಳನ್ನು ಕೇಳಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ, ಉದಾಹರಣೆಗೆ, ಬಳಕೆದಾರರು ಜೋ ಆಗಿದ್ದರೆ, ನಾವು 10 ಸೆಕೆಂಡುಗಳ ಕಾಲ ಕಾಯಬೇಕಾಗಿದೆ. ಇದು ಸ್ಪಷ್ಟವಾಗಿದೆ? ಬಳಕೆದಾರರು dbo ಆಗಿದ್ದರೆ, 10 ಸೆಕೆಂಡುಗಳು ನಿರೀಕ್ಷಿಸಿ. ಇದು ಕುರುಡು SQL ಇಂಜೆಕ್ಷನ್ ವಿಧಾನವಾಗಿದೆ.
ಪ್ಯಾಚ್ಗಳನ್ನು ರಚಿಸುವಾಗ ಡೆವಲಪರ್ಗಳು ಈ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸುವುದಿಲ್ಲ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ. ಇದು SQL ಇಂಜೆಕ್ಷನ್ ಆಗಿದೆ, ಆದರೆ SQL ಇಂಜೆಕ್ಷನ್ನ ಹಿಂದಿನ ವಿಧಾನಗಳಂತೆ ನಮ್ಮ IDS ಪ್ರೋಗ್ರಾಂ ಅದನ್ನು ನೋಡುವುದಿಲ್ಲ.
ಹೆಚ್ಚು ಆಸಕ್ತಿದಾಯಕವಾದದ್ದನ್ನು ಪ್ರಯತ್ನಿಸೋಣ. ಈ ಸಾಲನ್ನು IP ವಿಳಾಸದೊಂದಿಗೆ ನಕಲಿಸೋಣ ಮತ್ತು ಅದನ್ನು ಬ್ರೌಸರ್ಗೆ ಅಂಟಿಸೋಣ. ಇದು ಕೆಲಸ ಮಾಡಿತು! ನಮ್ಮ ಪ್ರೋಗ್ರಾಂನಲ್ಲಿನ TCP ಬಾರ್ ಕೆಂಪು ಬಣ್ಣಕ್ಕೆ ತಿರುಗಿತು, ಪ್ರೋಗ್ರಾಂ 2 ಭದ್ರತಾ ಬೆದರಿಕೆಗಳನ್ನು ಗಮನಿಸಿದೆ.
ಅದ್ಭುತ, ಮುಂದೆ ಏನಾಯಿತು ಎಂದು ನೋಡೋಣ. ನಾವು XP ಶೆಲ್ಗೆ ಒಂದು ಬೆದರಿಕೆಯನ್ನು ಹೊಂದಿದ್ದೇವೆ ಮತ್ತು ಇನ್ನೊಂದು ಬೆದರಿಕೆಯನ್ನು ಹೊಂದಿದ್ದೇವೆ - SQL ಇಂಜೆಕ್ಷನ್ ಪ್ರಯತ್ನ. ಒಟ್ಟಾರೆಯಾಗಿ, ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಎರಡು ಪ್ರಯತ್ನಗಳನ್ನು ಗಮನಿಸಲಾಗಿದೆ.
ಸರಿ, ಈಗ ನನಗೆ ತರ್ಕಕ್ಕೆ ಸಹಾಯ ಮಾಡಿ. XP ಶೆಲ್ಗೆ ವಿವಿಧ ಒಳನುಗ್ಗುವಿಕೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಿದೆ ಎಂದು IDS ಹೇಳುವ ಒಳನುಗ್ಗುವಿಕೆ ಡೇಟಾ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ನಾವು ಹೊಂದಿದ್ದೇವೆ.
ನಾವು ಕೆಳಗೆ ಸ್ಕ್ರಾಲ್ ಮಾಡಿದರೆ, ನಾವು HEX ಕೋಡ್ಗಳ ಟೇಬಲ್ ಅನ್ನು ನೋಡುತ್ತೇವೆ, ಅದರ ಬಲಭಾಗದಲ್ಲಿ xp_cmdshell + &27ping ಸಂದೇಶದೊಂದಿಗೆ ಫ್ಲ್ಯಾಗ್ ಇರುತ್ತದೆ ಮತ್ತು ನಿಸ್ಸಂಶಯವಾಗಿ ಇದು ಕೆಟ್ಟದು.
ಏನಾಯಿತು ಎಂದು ಇಲ್ಲಿ ನೋಡೋಣ. SQL ಸರ್ವರ್ ಏನು ಮಾಡಿದೆ?
SQL ಸರ್ವರ್ ಹೇಳಿದೆ: "ನೀವು ನನ್ನ ಡೇಟಾಬೇಸ್ಗೆ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಹೊಂದಬಹುದು, ನನ್ನ ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ನೀವು ಎಲ್ಲಾ ದಾಖಲೆಗಳನ್ನು ಪಡೆಯಬಹುದು, ಆದರೆ ಗೆಳೆಯ, ನಿಮ್ಮ ಆಜ್ಞೆಗಳನ್ನು ನನ್ನ ಮೇಲೆ ಚಲಾಯಿಸಲು ನಾನು ಬಯಸುವುದಿಲ್ಲ, ಅದು ತಂಪಾಗಿಲ್ಲ"!
ನಾವು ಮಾಡಬೇಕಾಗಿರುವುದು XP ಶೆಲ್ಗೆ IDS ಬೆದರಿಕೆಯನ್ನು ವರದಿ ಮಾಡಿದರೂ ಸಹ, ಬೆದರಿಕೆಯನ್ನು ನಿರ್ಲಕ್ಷಿಸಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು. ನೀವು SQL ಸರ್ವರ್ 2005 ಅಥವಾ SQL ಸರ್ವರ್ 2008 ಅನ್ನು ಬಳಸುತ್ತಿದ್ದರೆ, SQL ಇಂಜೆಕ್ಷನ್ ಪ್ರಯತ್ನವು ಪತ್ತೆಯಾದರೆ, ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ ಕಮಾಂಡ್ ಶೆಲ್ ಅನ್ನು ಲಾಕ್ ಮಾಡಲಾಗುತ್ತದೆ, ನಿಮ್ಮ ಕೆಲಸವನ್ನು ಮುಂದುವರಿಸುವುದನ್ನು ತಡೆಯುತ್ತದೆ. ಇದು ತುಂಬಾ ಕಿರಿಕಿರಿ ಉಂಟುಮಾಡುತ್ತದೆ. ಹಾಗಾದರೆ ನಾವೇನು ಮಾಡಬೇಕು? ನೀವು ಸರ್ವರ್ ಅನ್ನು ದಯೆಯಿಂದ ಕೇಳಲು ಪ್ರಯತ್ನಿಸಬೇಕು. ನೀವು ಇದನ್ನು ಹೇಳಬೇಕೇ: "ದಯವಿಟ್ಟು, ಡ್ಯಾಡಿ, ನಾನು ಈ ಕುಕೀಗಳನ್ನು ಹೊಂದಬಹುದೇ"? ಅದನ್ನೇ ನಾನು ಮಾಡುತ್ತೇನೆ, ಗಂಭೀರವಾಗಿ, ನಾನು ಸರ್ವರನ್ನೂ ಬಹಳ ನಯವಾಗಿ ಕೇಳುತ್ತೇನೆ! ನಾನು ಹೆಚ್ಚುವರಿ ಆಯ್ಕೆಗಳನ್ನು ಕೇಳುತ್ತೇನೆ, ನಾನು ಮರುಸಂರಚನೆಯನ್ನು ಕೇಳುತ್ತೇನೆ ಮತ್ತು ಶೆಲ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು XP ಶೆಲ್ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬದಲಾಯಿಸಲು ನಾನು ಕೇಳುತ್ತೇನೆ ಏಕೆಂದರೆ ನನಗೆ ಅದು ಅಗತ್ಯವಿದೆ!
IDS ಇದನ್ನು ಪತ್ತೆಹಚ್ಚಿದೆ ಎಂದು ನಾವು ನೋಡುತ್ತೇವೆ - ನೀವು ನೋಡಿ, ಇಲ್ಲಿ ಈಗಾಗಲೇ 3 ಬೆದರಿಕೆಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ.
ಇಲ್ಲಿ ನೋಡಿ - ನಾವು ಭದ್ರತಾ ಲಾಗ್ಗಳನ್ನು ಸ್ಫೋಟಿಸಿದ್ದೇವೆ! ಇದು ಕ್ರಿಸ್ಮಸ್ ವೃಕ್ಷದಂತೆ ಕಾಣುತ್ತದೆ, ಇಲ್ಲಿ ತುಂಬಾ ನೇತಾಡುತ್ತಿದೆ! 27 ಭದ್ರತಾ ಬೆದರಿಕೆಗಳು! ಹುರ್ರೇ ಹುಡುಗರೇ, ನಾವು ಈ ಹ್ಯಾಕರ್ ಅನ್ನು ಹಿಡಿದಿದ್ದೇವೆ, ನಾವು ಅವನನ್ನು ಪಡೆದುಕೊಂಡಿದ್ದೇವೆ!
ಅವನು ನಮ್ಮ ಡೇಟಾವನ್ನು ಕದಿಯುತ್ತಾನೆ ಎಂದು ನಾವು ಚಿಂತಿಸುವುದಿಲ್ಲ, ಆದರೆ ಅವರು ನಮ್ಮ “ಬಾಕ್ಸ್” ನಲ್ಲಿ ಸಿಸ್ಟಮ್ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದರೆ - ಇದು ಈಗಾಗಲೇ ಗಂಭೀರವಾಗಿದೆ! ನೀವು ಟೆಲ್ನೆಟ್ ಮಾರ್ಗವನ್ನು ಸೆಳೆಯಬಹುದು, FTP, ನೀವು ನನ್ನ ಡೇಟಾವನ್ನು ಸ್ವಾಧೀನಪಡಿಸಿಕೊಳ್ಳಬಹುದು, ಅದು ತಂಪಾಗಿದೆ, ಆದರೆ ನಾನು ಅದರ ಬಗ್ಗೆ ಚಿಂತಿಸುವುದಿಲ್ಲ, ನನ್ನ "ಬಾಕ್ಸ್" ನ ಶೆಲ್ ಅನ್ನು ನೀವು ತೆಗೆದುಕೊಳ್ಳಬೇಕೆಂದು ನಾನು ಬಯಸುವುದಿಲ್ಲ.
ನನಗೆ ನಿಜವಾಗಿಯೂ ಸಿಕ್ಕಿರುವ ವಿಷಯಗಳ ಬಗ್ಗೆ ಮಾತನಾಡಲು ನಾನು ಬಯಸುತ್ತೇನೆ. ನಾನು ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಕೆಲಸ ಮಾಡುತ್ತೇನೆ, ನಾನು ಅವರಿಗಾಗಿ ಹಲವು ವರ್ಷಗಳಿಂದ ಕೆಲಸ ಮಾಡಿದ್ದೇನೆ ಮತ್ತು ನಾನು ನಿರುದ್ಯೋಗಿ ಎಂದು ನನ್ನ ಗೆಳತಿ ಭಾವಿಸಿದ್ದರಿಂದ ನಾನು ಇದನ್ನು ನಿಮಗೆ ಹೇಳುತ್ತಿದ್ದೇನೆ. ನಾನು ವೇದಿಕೆಯ ಮೇಲೆ ನಿಂತು ಹರಟೆ ಹೊಡೆಯುತ್ತೇನೆ, ಇದನ್ನು ಕೆಲಸವೆಂದು ಪರಿಗಣಿಸಲಾಗುವುದಿಲ್ಲ ಎಂದು ಅವಳು ಭಾವಿಸುತ್ತಾಳೆ. ಆದರೆ ನಾನು ಹೇಳುತ್ತೇನೆ: "ಇಲ್ಲ, ನನ್ನ ಸಂತೋಷ, ನಾನು ಸಲಹೆಗಾರ"! ಅದೇ ವ್ಯತ್ಯಾಸ - ನಾನು ನನ್ನ ಮನಸ್ಸಿನಲ್ಲಿ ಮಾತನಾಡುತ್ತೇನೆ ಮತ್ತು ಅದಕ್ಕಾಗಿ ನಾನು ಹಣವನ್ನು ಪಡೆಯುತ್ತೇನೆ.
ನಾನು ಇದನ್ನು ಹೇಳುತ್ತೇನೆ - ನಾವು, ಹ್ಯಾಕರ್ಗಳಾಗಿ, ಶೆಲ್ ಅನ್ನು ಭೇದಿಸಲು ಇಷ್ಟಪಡುತ್ತೇವೆ ಮತ್ತು ನಮಗೆ "ಶೆಲ್ ಅನ್ನು ನುಂಗುವುದಕ್ಕಿಂತ" ಜಗತ್ತಿನಲ್ಲಿ ಹೆಚ್ಚಿನ ಸಂತೋಷವಿಲ್ಲ. IDS ವಿಶ್ಲೇಷಕರು ತಮ್ಮ ನಿಯಮಗಳನ್ನು ಬರೆದಾಗ, ಶೆಲ್ ಟ್ಯಾಂಪರಿಂಗ್ ವಿರುದ್ಧ ರಕ್ಷಿಸಲು ಅವರು ಅವುಗಳನ್ನು ಬರೆಯುವುದನ್ನು ನೀವು ನೋಡುತ್ತೀರಿ. ಆದರೆ ಡೇಟಾ ಹೊರತೆಗೆಯುವಿಕೆಯ ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ನೀವು CIO ಗೆ ಮಾತನಾಡಿದರೆ, ಅವರು ಎರಡು ಆಯ್ಕೆಗಳ ಬಗ್ಗೆ ಯೋಚಿಸಲು ನಿಮ್ಮನ್ನು ಕೇಳುತ್ತಾರೆ. ನಾನು ಗಂಟೆಗೆ 100 "ತುಣುಕುಗಳನ್ನು" ಮಾಡುವ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಹೊಂದಿದ್ದೇನೆ ಎಂದು ಹೇಳೋಣ. ನನಗೆ ಹೆಚ್ಚು ಮುಖ್ಯವಾದುದು: ಈ ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿನ ಎಲ್ಲಾ ಡೇಟಾದ ಸುರಕ್ಷತೆ ಅಥವಾ "ಬಾಕ್ಸ್" ಶೆಲ್ನ ಸುರಕ್ಷತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು? ಇದು ಗಂಭೀರ ಪ್ರಶ್ನೆ! ನೀವು ಹೆಚ್ಚು ಏನು ಚಿಂತಿಸಬೇಕು?
ನಿಮ್ಮ "ಬಾಕ್ಸ್" ಶೆಲ್ ದೋಷಪೂರಿತವಾಗಿರುವುದರಿಂದ ಯಾರಾದರೂ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಒಳಗಿನ ಕಾರ್ಯಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆದಿದ್ದಾರೆ ಎಂದು ಅರ್ಥವಲ್ಲ. ಹೌದು, ಇದು ಸಾಧ್ಯತೆ ಹೆಚ್ಚು, ಮತ್ತು ಇದು ಇನ್ನೂ ಸಂಭವಿಸದಿದ್ದರೆ, ಅದು ಶೀಘ್ರದಲ್ಲೇ ಸಂಭವಿಸಬಹುದು. ಆದರೆ ಆಕ್ರಮಣಕಾರರು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ ಮೂಲಕ ಚಲಿಸುತ್ತಿದ್ದಾರೆ ಎಂಬ ಊಹೆಯ ಮೇಲೆ ಅನೇಕ ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳನ್ನು ನಿರ್ಮಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ. ಆದ್ದರಿಂದ ಅವರು ಆಜ್ಞೆಗಳ ಮರಣದಂಡನೆಗೆ, ಆಜ್ಞೆಗಳ ಅನುಷ್ಠಾನಕ್ಕೆ ಗಮನ ಕೊಡುತ್ತಾರೆ ಮತ್ತು ಇದು ಗಂಭೀರವಾದ ವಿಷಯ ಎಂದು ನೀವು ಗಮನಿಸಬೇಕು. ಅವರು ಕ್ಷುಲ್ಲಕ ದುರ್ಬಲತೆಗಳಿಗೆ, ಅತ್ಯಂತ ಸರಳವಾದ ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ಗೆ, ಅತ್ಯಂತ ಸರಳವಾದ SQL ಚುಚ್ಚುಮದ್ದುಗಳಿಗೆ ಗಮನ ಕೊಡುತ್ತಾರೆ. ಅವರು ಸುಧಾರಿತ ಬೆದರಿಕೆಗಳು ಅಥವಾ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಂದೇಶಗಳ ಬಗ್ಗೆ ಕಾಳಜಿ ವಹಿಸುವುದಿಲ್ಲ, ಆ ರೀತಿಯ ವಿಷಯಗಳ ಬಗ್ಗೆ ಅವರು ಕಾಳಜಿ ವಹಿಸುವುದಿಲ್ಲ. ಎಲ್ಲಾ ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳು ಶಬ್ದಕ್ಕಾಗಿ ಹುಡುಕುತ್ತಿವೆ ಎಂದು ನೀವು ಹೇಳಬಹುದು, ಅವರು ಯಾಪ್ ಅನ್ನು ಹುಡುಕುತ್ತಿದ್ದಾರೆ, ಅವರು ನಿಮ್ಮ ಪಾದವನ್ನು ಕಚ್ಚುವ ಯಾವುದನ್ನಾದರೂ ನಿಲ್ಲಿಸಲು ನೋಡುತ್ತಿದ್ದಾರೆ. ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳೊಂದಿಗೆ ವ್ಯವಹರಿಸುವಾಗ ನಾನು ಕಲಿತದ್ದು ಇಲ್ಲಿದೆ. ನೀವು ಸುರಕ್ಷತಾ ಉತ್ಪನ್ನಗಳನ್ನು ಖರೀದಿಸಬೇಕಾಗಿಲ್ಲ, ನೀವು ಟ್ರಕ್ ಅನ್ನು ಹಿಮ್ಮುಖವಾಗಿ ಓಡಿಸಬೇಕಾಗಿಲ್ಲ. ತಂತ್ರಜ್ಞಾನವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವ ಸಮರ್ಥ, ನುರಿತ ಜನರ ಅಗತ್ಯವಿದೆ. ಹೌದು, ನನ್ನ ದೇವರೇ, ನಿಖರವಾಗಿ ಜನರು! ಈ ಸಮಸ್ಯೆಗಳಿಗೆ ನಾವು ಮಿಲಿಯನ್ಗಟ್ಟಲೆ ಡಾಲರ್ಗಳನ್ನು ಎಸೆಯಲು ಬಯಸುವುದಿಲ್ಲ, ಆದರೆ ನಿಮ್ಮಲ್ಲಿ ಹಲವರು ಈ ಕ್ಷೇತ್ರದಲ್ಲಿ ಕೆಲಸ ಮಾಡಿದ್ದೀರಿ ಮತ್ತು ನಿಮ್ಮ ಬಾಸ್ ಜಾಹೀರಾತನ್ನು ನೋಡಿದ ತಕ್ಷಣ ಅವರು ಅಂಗಡಿಗೆ ಓಡಿ, "ನಾವು ಇದನ್ನು ಪಡೆಯಬೇಕು! " ಆದರೆ ನಮಗೆ ನಿಜವಾಗಿಯೂ ಅಗತ್ಯವಿಲ್ಲ, ನಮ್ಮ ಹಿಂದೆ ಇರುವ ಅವ್ಯವಸ್ಥೆಯನ್ನು ನಾವು ಸರಿಪಡಿಸಬೇಕಾಗಿದೆ. ಅದು ಈ ಪ್ರದರ್ಶನಕ್ಕೆ ಆಧಾರವಾಗಿತ್ತು.
ಭದ್ರತಾ ಪರಿಸರವು ಭದ್ರತಾ ಕಾರ್ಯವಿಧಾನಗಳು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನಾನು ಸಾಕಷ್ಟು ಸಮಯವನ್ನು ಕಳೆದಿದ್ದೇನೆ. ಒಮ್ಮೆ ನೀವು ರಕ್ಷಣಾ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಂಡರೆ, ರಕ್ಷಣೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡುವುದು ಕಷ್ಟವೇನಲ್ಲ. ಉದಾಹರಣೆಗೆ, ನಾನು ತನ್ನದೇ ಆದ ಫೈರ್ವಾಲ್ನಿಂದ ರಕ್ಷಿಸಲ್ಪಟ್ಟ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಹೊಂದಿದ್ದೇನೆ. ನಾನು ಸೆಟ್ಟಿಂಗ್ಗಳ ಫಲಕದ ವಿಳಾಸವನ್ನು ನಕಲಿಸುತ್ತೇನೆ, ಅದನ್ನು ಬ್ರೌಸರ್ನ ವಿಳಾಸ ಪಟ್ಟಿಗೆ ಅಂಟಿಸಿ ಮತ್ತು ಸೆಟ್ಟಿಂಗ್ಗಳಿಗೆ ಹೋಗಿ ಮತ್ತು ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ ಅನ್ನು ಪ್ರಯತ್ನಿಸಿ.
ಪರಿಣಾಮವಾಗಿ, ನಾನು ಬೆದರಿಕೆಯ ಬಗ್ಗೆ ಫೈರ್ವಾಲ್ ಸಂದೇಶವನ್ನು ಸ್ವೀಕರಿಸುತ್ತೇನೆ - ನನ್ನನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ.
ಇದು ಕೆಟ್ಟದು ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ, ನೀವು ಒಪ್ಪುತ್ತೀರಾ? ನೀವು ಭದ್ರತಾ ಉತ್ಪನ್ನವನ್ನು ಎದುರಿಸಿದ್ದೀರಿ. ಆದರೆ ನಾನು ಈ ರೀತಿಯದನ್ನು ಪ್ರಯತ್ನಿಸಿದರೆ ಏನು: ನಾನು ಪ್ಯಾರಾಮೀಟರ್ Joe'+OR+1='1 ಅನ್ನು ನಮೂದಿಸುತ್ತೇನೆ
ನೀವು ನೋಡುವಂತೆ, ಅದು ಕೆಲಸ ಮಾಡಿದೆ. ನಾನು ತಪ್ಪಾಗಿದ್ದರೆ ನನ್ನನ್ನು ಸರಿಪಡಿಸಿ, ಆದರೆ SQL ಇಂಜೆಕ್ಷನ್ ಅಪ್ಲಿಕೇಶನ್ ಫೈರ್ವಾಲ್ ಅನ್ನು ಸೋಲಿಸುವುದನ್ನು ನಾವು ನೋಡಿದ್ದೇವೆ. ಈಗ ನಾವು ಭದ್ರತಾ ಅನುಷ್ಠಾನ ಕಂಪನಿಯನ್ನು ಪ್ರಾರಂಭಿಸಲು ಬಯಸುತ್ತೇವೆ ಎಂದು ನಟಿಸೋಣ, ಆದ್ದರಿಂದ ನಾವು ನಮ್ಮ ಸಾಫ್ಟ್ವೇರ್ ತಯಾರಕ ಟೋಪಿಯನ್ನು ಹಾಕುತ್ತೇವೆ. ಈಗ ನಾವು ಕೆಟ್ಟದ್ದನ್ನು ಸಾಕಾರಗೊಳಿಸುತ್ತೇವೆ ಏಕೆಂದರೆ ಅದು ಕಪ್ಪು ಟೋಪಿಯಾಗಿದೆ. ನಾನು ಸಲಹೆಗಾರನಾಗಿದ್ದೇನೆ, ಹಾಗಾಗಿ ಸಾಫ್ಟ್ವೇರ್ ತಯಾರಕರೊಂದಿಗೆ ನಾನು ಅದೇ ರೀತಿ ಮಾಡಬಹುದು.
ನಾವು ಹೊಸ ಟ್ಯಾಂಪರ್ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಯನ್ನು ರಚಿಸಲು ಮತ್ತು ನಿಯೋಜಿಸಲು ಬಯಸುತ್ತೇವೆ, ಆದ್ದರಿಂದ ನಾವು ಟ್ಯಾಂಪರ್ ಪತ್ತೆ ಕಂಪನಿಯನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ. ಗೊರಕೆ, ತೆರೆದ ಮೂಲ ಉತ್ಪನ್ನವಾಗಿ, ನೂರಾರು ಸಾವಿರ ಟ್ಯಾಂಪರಿಂಗ್ ಬೆದರಿಕೆ ಸಹಿಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ನಾವು ನೈತಿಕವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸಬೇಕು, ಆದ್ದರಿಂದ ನಾವು ಇತರ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಂದ ಈ ಸಹಿಗಳನ್ನು ಕದಿಯುವುದಿಲ್ಲ ಮತ್ತು ಅವುಗಳನ್ನು ನಮ್ಮ ಸಿಸ್ಟಮ್ಗೆ ಸೇರಿಸುವುದಿಲ್ಲ. ನಾವು ಕುಳಿತು ಅವೆಲ್ಲವನ್ನೂ ಪುನಃ ಬರೆಯುತ್ತೇವೆ - ಹೇ, ಬಾಬ್, ಟಿಮ್, ಜೋ, ಇಲ್ಲಿಗೆ ಬನ್ನಿ, ಈ ಎಲ್ಲಾ 100 ಸಹಿಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಚಲಾಯಿಸಿ!
ನಾವು ದುರ್ಬಲತೆ ಸ್ಕ್ಯಾನರ್ ಅನ್ನು ಸಹ ರಚಿಸಬೇಕಾಗಿದೆ. ದೋಷಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಹುಡುಕುವ ಪ್ರೋಗ್ರಾಂ Nessus, ದೋಷಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಉತ್ತಮ 80 ಸಾವಿರ ಸಹಿಗಳು ಮತ್ತು ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಹೊಂದಿದೆ ಎಂದು ನಿಮಗೆ ತಿಳಿದಿದೆ. ನಾವು ಮತ್ತೆ ನೈತಿಕವಾಗಿ ವರ್ತಿಸುತ್ತೇವೆ ಮತ್ತು ನಮ್ಮ ಪ್ರೋಗ್ರಾಂಗೆ ಎಲ್ಲವನ್ನೂ ಪುನಃ ಬರೆಯುತ್ತೇವೆ.
ಜನರು ನನ್ನನ್ನು ಕೇಳುತ್ತಾರೆ, "ಜೋ, ನೀವು ಈ ಎಲ್ಲಾ ಪರೀಕ್ಷೆಗಳನ್ನು ಮಾಡ್ ಸೆಕ್ಯುರಿಟಿ, ಸ್ನಾರ್ಟ್ ಮತ್ತು ಮುಂತಾದ ಓಪನ್ ಸೋರ್ಸ್ ಸಾಫ್ಟ್ವೇರ್ ಬಳಸಿ ಮಾಡುತ್ತೀರಿ, ಅವು ಇತರ ತಯಾರಕರ ಉತ್ಪನ್ನಗಳಿಗೆ ಎಷ್ಟು ಹೋಲುತ್ತವೆ?" ನಾನು ಅವರಿಗೆ ಉತ್ತರಿಸುತ್ತೇನೆ: "ಅವರು ಒಂದೇ ರೀತಿ ಕಾಣುವುದಿಲ್ಲ!" ತಯಾರಕರು ತೆರೆದ ಮೂಲ ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳಿಂದ ವಿಷಯವನ್ನು ಕದಿಯುವುದಿಲ್ಲವಾದ್ದರಿಂದ, ಅವರು ಕುಳಿತು ಈ ಎಲ್ಲಾ ನಿಯಮಗಳನ್ನು ಸ್ವತಃ ಬರೆಯುತ್ತಾರೆ.
ಓಪನ್ ಸೋರ್ಸ್ ಉತ್ಪನ್ನಗಳನ್ನು ಬಳಸದೆಯೇ ನಿಮ್ಮ ಸ್ವಂತ ಸಹಿ ಮತ್ತು ದಾಳಿಯ ತಂತಿಗಳನ್ನು ನೀವು ಮಾಡಬಹುದಾದರೆ, ಇದು ನಿಮಗೆ ಉತ್ತಮ ಅವಕಾಶವಾಗಿದೆ. ನೀವು ಸರಿಯಾದ ದಿಕ್ಕಿನಲ್ಲಿ ಚಲಿಸುವ ವಾಣಿಜ್ಯ ಉತ್ಪನ್ನಗಳೊಂದಿಗೆ ಸ್ಪರ್ಧಿಸಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ, ನಿಮ್ಮ ಕ್ಷೇತ್ರದಲ್ಲಿ ಪ್ರಸಿದ್ಧರಾಗಲು ಸಹಾಯ ಮಾಡುವ ಪರಿಕಲ್ಪನೆಯನ್ನು ನೀವು ಕಂಡುಹಿಡಿಯಬೇಕು.
ನಾನು ಕುಡಿಯುತ್ತೇನೆ ಎಂದು ಎಲ್ಲರಿಗೂ ತಿಳಿದಿದೆ. ನಾನು ಏಕೆ ಕುಡಿಯುತ್ತೇನೆ ಎಂದು ತೋರಿಸುತ್ತೇನೆ. ನಿಮ್ಮ ಜೀವನದಲ್ಲಿ ನೀವು ಸೋರ್ಸ್ ಕೋಡ್ ಆಡಿಟ್ ಮಾಡಿದ್ದರೆ, ನೀವು ಖಂಡಿತವಾಗಿಯೂ ಕುಡಿಯುತ್ತೀರಿ, ನನ್ನನ್ನು ನಂಬಿರಿ, ನಂತರ ನೀವು ಕುಡಿಯಲು ಪ್ರಾರಂಭಿಸುತ್ತೀರಿ.
ಆದ್ದರಿಂದ, ನಮ್ಮ ನೆಚ್ಚಿನ ಭಾಷೆ C++ ಆಗಿದೆ. ಈ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ನೋಡೋಣ - ವೆಬ್ ನೈಟ್, ಇದು ವೆಬ್ ಸರ್ವರ್ಗಳಿಗೆ ಫೈರ್ವಾಲ್ ಅಪ್ಲಿಕೇಶನ್ ಆಗಿದೆ. ಇದು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ವಿನಾಯಿತಿಗಳನ್ನು ಹೊಂದಿದೆ. ಇದು ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ - ನಾನು ಈ ಫೈರ್ವಾಲ್ ಅನ್ನು ನಿಯೋಜಿಸಿದರೆ, ಅದು ನನ್ನನ್ನು Outlook ವೆಬ್ ಪ್ರವೇಶದಿಂದ ರಕ್ಷಿಸುವುದಿಲ್ಲ.
ಅದ್ಭುತ! ಏಕೆಂದರೆ ಅನೇಕ ಸಾಫ್ಟ್ವೇರ್ ಮಾರಾಟಗಾರರು ಒಂದು ಅಪ್ಲಿಕೇಶನ್ನಿಂದ ನಿಯಮಗಳನ್ನು ಎಳೆಯುತ್ತಾರೆ ಮತ್ತು ಸಂಶೋಧನೆಯ ಸಂಪೂರ್ಣ ಗುಂಪನ್ನು ಮಾಡದೆಯೇ ಅವುಗಳನ್ನು ತಮ್ಮ ಉತ್ಪನ್ನಕ್ಕೆ ಅಂಟಿಸಿ. ಹಾಗಾಗಿ ನಾನು ವೆಬ್ ಫೈರ್ವಾಲ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ನಿಯೋಜಿಸಿದಾಗ, ವೆಬ್ಮೇಲ್ ಬಗ್ಗೆ ಎಲ್ಲವನ್ನೂ ತಪ್ಪಾಗಿ ಮಾಡಲಾಗಿದೆ ಎಂದು ನಾನು ಕಂಡುಕೊಂಡಿದ್ದೇನೆ! ಏಕೆಂದರೆ ಯಾವುದೇ ವೆಬ್ಮೇಲ್ ಡೀಫಾಲ್ಟ್ ಆಗಿ ಭದ್ರತೆಯನ್ನು ಮುರಿಯುತ್ತದೆ. ನೀವು ಇಂಟರ್ನೆಟ್ನಲ್ಲಿ ನೇರವಾಗಿ LDAP ಅಥವಾ ಯಾವುದೇ ಇತರ ಬಳಕೆದಾರ ಡೇಟಾಬೇಸ್ ಸ್ಟೋರ್ಗಾಗಿ ಸಿಸ್ಟಮ್ ಆಜ್ಞೆಗಳು ಮತ್ತು ಪ್ರಶ್ನೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ವೆಬ್ ಕೋಡ್ ಅನ್ನು ಹೊಂದಿರುವಿರಿ.
ಹೇಳಿ, ಯಾವ ಗ್ರಹದಲ್ಲಿ ಇಂತಹದನ್ನು ಸುರಕ್ಷಿತವೆಂದು ಪರಿಗಣಿಸಬಹುದು? ಅದರ ಬಗ್ಗೆ ಸ್ವಲ್ಪ ಯೋಚಿಸಿ: ನೀವು Outlook ವೆಬ್ ಪ್ರವೇಶವನ್ನು ತೆರೆಯಿರಿ, ctrl +K ಒತ್ತಿರಿ, ಬಳಕೆದಾರರನ್ನು ಹುಡುಕಿ ಮತ್ತು ಎಲ್ಲವನ್ನೂ, ನೀವು ನೇರವಾಗಿ ಇಂಟರ್ನೆಟ್ನಿಂದ ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯನ್ನು ನಿರ್ವಹಿಸುತ್ತೀರಿ, ನೀವು ಅಳಿಲು ಮೇಲ್, ಅಥವಾ ತಂಡ ಅಥವಾ ಯಾವುದನ್ನಾದರೂ ಬಳಸಿದರೆ ನೀವು Linux ನಲ್ಲಿ ಸಿಸ್ಟಮ್ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತೀರಿ ಬೇರೆ. ನೀವು ಈ ಎಲ್ಲಾ ಎವಾಲ್ಗಳು ಮತ್ತು ಇತರ ರೀತಿಯ ಅಸುರಕ್ಷಿತ ಕಾರ್ಯಗಳನ್ನು ಹೊರತೆಗೆಯುತ್ತಿರುವಿರಿ. ಆದ್ದರಿಂದ, ಅನೇಕ ಫೈರ್ವಾಲ್ಗಳು ಅವುಗಳನ್ನು ಭದ್ರತಾ ಅಪಾಯಗಳ ಪಟ್ಟಿಯಿಂದ ಹೊರಗಿಡುತ್ತವೆ, ಇದರ ಬಗ್ಗೆ ನಿಮ್ಮ ಸಾಫ್ಟ್ವೇರ್ ತಯಾರಕರನ್ನು ಕೇಳಲು ಪ್ರಯತ್ನಿಸಿ.
ವೆಬ್ ನೈಟ್ ಅಪ್ಲಿಕೇಶನ್ಗೆ ಹಿಂತಿರುಗೋಣ. ಇದು URL ಸ್ಕ್ಯಾನರ್ನಿಂದ ಸಾಕಷ್ಟು ಭದ್ರತಾ ನಿಯಮಗಳನ್ನು ಕದ್ದಿದೆ, ಇದು ಈ ಎಲ್ಲಾ IP ವಿಳಾಸ ಶ್ರೇಣಿಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತದೆ. ಆದ್ದರಿಂದ, ಈ ಎಲ್ಲಾ ವಿಳಾಸ ಶ್ರೇಣಿಗಳನ್ನು ನನ್ನ ಉತ್ಪನ್ನದಿಂದ ಹೊರಗಿಡಲಾಗಿದೆಯೇ?
ನಿಮ್ಮಲ್ಲಿ ಯಾರಾದರೂ ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಈ ವಿಳಾಸಗಳನ್ನು ಸ್ಥಾಪಿಸಲು ಬಯಸುವಿರಾ? ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ ಈ ವಿಳಾಸಗಳಲ್ಲಿ ರನ್ ಆಗಬೇಕೆಂದು ನೀವು ಬಯಸುವಿರಾ? ಹೌದು, ಇದು ಅದ್ಭುತವಾಗಿದೆ. ಸರಿ, ಈ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಕೆಳಗೆ ಸ್ಕ್ರಾಲ್ ಮಾಡೋಣ ಮತ್ತು ಈ ಫೈರ್ವಾಲ್ ಮಾಡಲು ಬಯಸದ ಇತರ ವಿಷಯಗಳನ್ನು ನೋಡೋಣ.
ಅವರನ್ನು "1999" ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ ಮತ್ತು ಅವರ ವೆಬ್ ಸರ್ವರ್ ಸಮಯಕ್ಕೆ ಹಿಂತಿರುಗಲು ಅವರು ಬಯಸುತ್ತಾರೆ! ನಿಮ್ಮಲ್ಲಿ ಯಾರಿಗಾದರೂ ಈ ಕಸ ನೆನಪಿದೆಯೇ: / ಸ್ಕ್ರಿಪ್ಟ್ಗಳು, / iishelp, msads? ಅಂತಹ ವಿಷಯಗಳನ್ನು ಹ್ಯಾಕ್ ಮಾಡುವುದು ಎಷ್ಟು ಖುಷಿಯಾಯಿತು ಎಂಬುದನ್ನು ಬಹುಶಃ ಒಂದೆರಡು ಜನರು ನಾಸ್ಟಾಲ್ಜಿಯಾದಿಂದ ನೆನಪಿಸಿಕೊಳ್ಳುತ್ತಾರೆ. "ನಿಮಗೆ ನೆನಪಿದೆಯೇ, ಸೊಗಸುಗಾರ, ನಾವು ಎಷ್ಟು ಸಮಯದ ಹಿಂದೆ ಸರ್ವರ್ಗಳನ್ನು "ಕೊಲ್ಲಿದ್ದೇವೆ", ಅದು ತಂಪಾಗಿತ್ತು!"
ಈಗ, ನೀವು ಈ ವಿನಾಯಿತಿಗಳನ್ನು ನೋಡಿದರೆ, ನೀವು ಈ ಎಲ್ಲಾ ಕೆಲಸಗಳನ್ನು ಮಾಡಬಹುದು ಎಂದು ನೀವು ನೋಡುತ್ತೀರಿ - msads, ಪ್ರಿಂಟರ್ಗಳು, iisadmpwd - ಇವೆಲ್ಲವೂ ಇಂದು ಯಾರಿಗೂ ಅಗತ್ಯವಿಲ್ಲ. ನೀವು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸದ ಆಜ್ಞೆಗಳ ಬಗ್ಗೆ ಏನು?
ಅವುಗಳೆಂದರೆ arp, at, cacls, chkdsk, ಸೈಫರ್, cmd, com. ನೀವು ಅವುಗಳನ್ನು ಪಟ್ಟಿ ಮಾಡುವಾಗ, ನೀವು ಹಳೆಯ ದಿನಗಳ ನೆನಪುಗಳೊಂದಿಗೆ ಹೊರಬರುತ್ತೀರಿ, "ಸೋತ, ನಾವು ಆ ಸರ್ವರ್ ಅನ್ನು ಯಾವಾಗ ತೆಗೆದುಕೊಳ್ಳುತ್ತೇವೆ, ಆ ದಿನಗಳನ್ನು ನೆನಪಿಸಿಕೊಳ್ಳಿ"?
ಆದರೆ ಇಲ್ಲಿ ನಿಜವಾಗಿಯೂ ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ - ಯಾರಾದರೂ ಇಲ್ಲಿ WMIC ಅಥವಾ ಬಹುಶಃ PowerShell ಅನ್ನು ನೋಡುತ್ತಾರೆಯೇ? ನೀವು ಸ್ಥಳೀಯ ಸಿಸ್ಟಂನಲ್ಲಿ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಹೊಸ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಹೊಂದಿದ್ದೀರಿ ಎಂದು ಕಲ್ಪಿಸಿಕೊಳ್ಳಿ ಮತ್ತು ಇವುಗಳು ಆಧುನಿಕ ಸ್ಕ್ರಿಪ್ಟ್ಗಳಾಗಿವೆ ಏಕೆಂದರೆ ನೀವು ವಿಂಡೋಸ್ ಸರ್ವರ್ 2008 ಅನ್ನು ಚಲಾಯಿಸಲು ಬಯಸುತ್ತೀರಿ ಮತ್ತು ವಿಂಡೋಸ್ 2000 ಗಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ನಿಯಮಗಳೊಂದಿಗೆ ಅದನ್ನು ರಕ್ಷಿಸುವ ಮೂಲಕ ನಾನು ಉತ್ತಮ ಕೆಲಸವನ್ನು ಮಾಡಲಿದ್ದೇನೆ. ಮುಂದಿನ ಬಾರಿ ಮಾರಾಟಗಾರರು ತಮ್ಮ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ನೊಂದಿಗೆ ನಿಮ್ಮ ಬಳಿಗೆ ಬಂದಾಗ ಅವರನ್ನು ಕೇಳಿ: “ಹೇ ಮ್ಯಾನ್, ನೀವು ಬಿಟ್ಸ್ ಅಡ್ಮಿನ್ ಅಥವಾ ರನ್ನಿಂಗ್ ಪವರ್ಶೆಲ್ ಆಜ್ಞೆಗಳಂತಹ ವಿಷಯಗಳನ್ನು ಸೇರಿಸಿದ್ದೀರಾ, ನೀವು ಇತರ ಎಲ್ಲ ವಿಷಯಗಳನ್ನು ಪರಿಶೀಲಿಸಿದ್ದೀರಾ, ಏಕೆಂದರೆ ನಾವು ನವೀಕರಿಸಲಿದ್ದೇವೆ. ಮತ್ತು ಡಾಟ್ನೆಟ್ನ ಹೊಸ ಆವೃತ್ತಿಯನ್ನು ಬಳಸುವುದೇ? ಆದರೆ ಈ ಎಲ್ಲಾ ವಿಷಯಗಳು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಭದ್ರತಾ ಉತ್ಪನ್ನದಲ್ಲಿ ಇರಬೇಕು!
ನಾನು ನಿಮ್ಮೊಂದಿಗೆ ಮಾತನಾಡಲು ಬಯಸುವ ಮುಂದಿನ ವಿಷಯವೆಂದರೆ ತಾರ್ಕಿಕ ದೋಷಗಳು. 192.168.2.6 ಗೆ ಹೋಗೋಣ. ಇದು ಹಿಂದಿನ ಅಪ್ಲಿಕೇಶನ್ನಂತೆಯೇ ಇದೆ.
ನೀವು ಪುಟವನ್ನು ಕೆಳಗೆ ಸ್ಕ್ರಾಲ್ ಮಾಡಿದರೆ ಮತ್ತು ನಮ್ಮನ್ನು ಸಂಪರ್ಕಿಸಿ ಲಿಂಕ್ ಅನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿದರೆ ಆಸಕ್ತಿದಾಯಕವಾದದ್ದನ್ನು ನೀವು ಗಮನಿಸಬಹುದು.
"ನಮ್ಮನ್ನು ಸಂಪರ್ಕಿಸಿ" ಟ್ಯಾಬ್ನ ಮೂಲ ಕೋಡ್ ಅನ್ನು ನೀವು ನೋಡಿದರೆ, ಇದು ನಾನು ಸಾರ್ವಕಾಲಿಕವಾಗಿ ಮಾಡುವ ಪೆಂಟೆಸ್ಟಿಂಗ್ ವಿಧಾನಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ, ನೀವು ಈ ಸಾಲನ್ನು ಗಮನಿಸಬಹುದು.
ಅದರ ಬಗ್ಗೆ ಯೋಚಿಸು! ಅವರು ಇದನ್ನು ನೋಡಿದಾಗ, ಅನೇಕರು ಹೇಳಿದರು: "ವಾವ್"! ನಾನು ಒಮ್ಮೆ ಬಿಲಿಯನೇರ್ ಬ್ಯಾಂಕ್ಗಾಗಿ ನುಗ್ಗುವ ಪರೀಕ್ಷೆಯನ್ನು ಮಾಡುತ್ತಿದ್ದೆ ಮತ್ತು ನಾನು ಇದೇ ರೀತಿಯದ್ದನ್ನು ಗಮನಿಸಿದ್ದೇನೆ. ಆದ್ದರಿಂದ, ನಮಗೆ ಯಾವುದೇ SQL ಇಂಜೆಕ್ಷನ್ ಅಥವಾ ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ ಅಗತ್ಯವಿಲ್ಲ - ನಾವು ಮೂಲಭೂತ ಅಂಶಗಳನ್ನು ಹೊಂದಿದ್ದೇವೆ, ಈ ವಿಳಾಸ ಪಟ್ಟಿ.
ಆದ್ದರಿಂದ, ಉತ್ಪ್ರೇಕ್ಷೆಯಿಲ್ಲದೆ - ಅವರು ನೆಟ್ವರ್ಕ್ ಸ್ಪೆಷಲಿಸ್ಟ್ ಮತ್ತು ವೆಬ್ ಇನ್ಸ್ಪೆಕ್ಟರ್ ಇಬ್ಬರನ್ನೂ ಹೊಂದಿದ್ದಾರೆ ಎಂದು ಬ್ಯಾಂಕ್ ನಮಗೆ ತಿಳಿಸಿದೆ ಮತ್ತು ಅವರು ಯಾವುದೇ ಕಾಮೆಂಟ್ಗಳನ್ನು ಮಾಡಲಿಲ್ಲ. ಅಂದರೆ, ಪಠ್ಯ ಫೈಲ್ ಅನ್ನು ಬ್ರೌಸರ್ ಮೂಲಕ ತೆರೆಯಬಹುದು ಮತ್ತು ಓದಬಹುದು ಎಂದು ಅವರು ಸಾಮಾನ್ಯವೆಂದು ಪರಿಗಣಿಸಿದ್ದಾರೆ.
ಅಂದರೆ, ನೀವು ಫೈಲ್ ಸಿಸ್ಟಮ್ನಿಂದ ನೇರವಾಗಿ ಫೈಲ್ ಅನ್ನು ಓದಬಹುದು. ಅವರ ಭದ್ರತಾ ತಂಡದ ಮುಖ್ಯಸ್ಥರು ನನಗೆ ಹೇಳಿದರು: "ಹೌದು, ಸ್ಕ್ಯಾನರ್ಗಳಲ್ಲಿ ಒಬ್ಬರು ಈ ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಕೊಂಡರು, ಆದರೆ ಅದನ್ನು ಚಿಕ್ಕದಾಗಿದೆ ಎಂದು ಪರಿಗಣಿಸಿದ್ದಾರೆ." ಅದಕ್ಕೆ ನಾನು, ಸರಿ, ಒಂದು ನಿಮಿಷ ಕೊಡಿ ಎಂದು ಉತ್ತರಿಸಿದೆ. ನಾನು ಫೈಲ್ ಹೆಸರು=../../../../boot.ini ಅನ್ನು ವಿಳಾಸ ಪಟ್ಟಿಯಲ್ಲಿ ಟೈಪ್ ಮಾಡಿದ್ದೇನೆ ಮತ್ತು ಫೈಲ್ ಸಿಸ್ಟಮ್ ಬೂಟ್ ಫೈಲ್ ಅನ್ನು ಓದಲು ಸಾಧ್ಯವಾಯಿತು!
ಇದಕ್ಕೆ ಅವರು ನನಗೆ ಹೇಳಿದರು: "ಇಲ್ಲ, ಇಲ್ಲ, ಇಲ್ಲ, ಇವು ನಿರ್ಣಾಯಕ ಫೈಲ್ಗಳಲ್ಲ"! ನಾನು ಉತ್ತರಿಸಿದೆ - ಆದರೆ ಇದು ಸರ್ವರ್ 2008? ಅವರು ಹೌದು, ಅದು ಅವನೇ ಎಂದು ಹೇಳಿದರು. ನಾನು ಹೇಳುತ್ತೇನೆ - ಆದರೆ ಈ ಸರ್ವರ್ ಸರ್ವರ್ನ ಮೂಲ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಹೊಂದಿದೆ, ಸರಿ? "ಸರಿ," ಅವರು ಉತ್ತರಿಸುತ್ತಾರೆ. "ಗ್ರೇಟ್," ನಾನು ಹೇಳುತ್ತೇನೆ, "ದಾಳಿಕೋರರು ಇದನ್ನು ಮಾಡಿದರೆ ಏನು," ಮತ್ತು ನಾನು ವಿಳಾಸ ಪಟ್ಟಿಯಲ್ಲಿ filename=web.config ಎಂದು ಟೈಪ್ ಮಾಡುತ್ತೇನೆ. ಅವರು ಹೇಳುತ್ತಾರೆ - ಹಾಗಾದರೆ ಏನು, ನೀವು ಮಾನಿಟರ್ನಲ್ಲಿ ಏನನ್ನೂ ನೋಡುತ್ತಿಲ್ಲವೇ?
ನಾನು ಹೇಳುತ್ತೇನೆ - ನಾನು ಮಾನಿಟರ್ ಮೇಲೆ ಬಲ ಕ್ಲಿಕ್ ಮಾಡಿ ಮತ್ತು ಶೋ ಪೇಜ್ ಸೋರ್ಸ್ ಆಯ್ಕೆಯನ್ನು ಆರಿಸಿದರೆ ಏನು? ಮತ್ತು ನಾನು ಇಲ್ಲಿ ಏನು ಕಂಡುಕೊಳ್ಳುತ್ತೇನೆ? "ವಿಮರ್ಶಾತ್ಮಕವಾಗಿ ಏನೂ ಇಲ್ಲ"? ನಾನು ಸರ್ವರ್ ನಿರ್ವಾಹಕರ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನೋಡುತ್ತೇನೆ!
ಮತ್ತು ಇಲ್ಲಿ ಯಾವುದೇ ಸಮಸ್ಯೆ ಇಲ್ಲ ಎಂದು ನೀವು ಹೇಳುತ್ತೀರಾ?
ಆದರೆ ನನ್ನ ನೆಚ್ಚಿನ ಭಾಗ ಇದು ಮುಂದಿನದು. ಬಾಕ್ಸ್ನಲ್ಲಿ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನೀವು ನನಗೆ ಅನುಮತಿಸುವುದಿಲ್ಲ, ಆದರೆ ನಾನು ವೆಬ್ ಸರ್ವರ್ ನಿರ್ವಾಹಕರ ಪಾಸ್ವರ್ಡ್ ಮತ್ತು ಡೇಟಾಬೇಸ್ ಅನ್ನು ಕದಿಯಬಹುದು, ಸಂಪೂರ್ಣ ಡೇಟಾಬೇಸ್ ಅನ್ನು ನೋಡಬಹುದು, ಡೇಟಾಬೇಸ್ ಮತ್ತು ಸಿಸ್ಟಮ್ ವೈಫಲ್ಯಗಳ ಬಗ್ಗೆ ಎಲ್ಲಾ ವಸ್ತುಗಳನ್ನು ಕಿತ್ತುಹಾಕಬಹುದು ಮತ್ತು ಎಲ್ಲದರಿಂದ ತಪ್ಪಿಸಿಕೊಳ್ಳಬಹುದು. "ಹೇ ಮನುಷ್ಯ, ಇಂದು ದೊಡ್ಡ ದಿನ" ಎಂದು ಕೆಟ್ಟ ವ್ಯಕ್ತಿ ಹೇಳುವ ಸಂದರ್ಭ ಇದು!
ಸುರಕ್ಷತಾ ಉತ್ಪನ್ನಗಳು ನಿಮ್ಮನ್ನು ಅನಾರೋಗ್ಯಕ್ಕೆ ಒಳಪಡಿಸಲು ಬಿಡಬೇಡಿ! ಸುರಕ್ಷತಾ ಉತ್ಪನ್ನಗಳು ನಿಮ್ಮನ್ನು ಅನಾರೋಗ್ಯಕ್ಕೆ ಒಳಪಡಿಸಲು ಬಿಡಬೇಡಿ! ಕೆಲವು ದಡ್ಡರನ್ನು ಹುಡುಕಿ, ಅವರಿಗೆ ಸ್ಟಾರ್ ಟ್ರೆಕ್ ಸ್ಮರಣಿಕೆಗಳನ್ನು ನೀಡಿ, ಅವರಿಗೆ ಆಸಕ್ತಿಯನ್ನು ಮೂಡಿಸಿ, ನಿಮ್ಮೊಂದಿಗೆ ಇರಲು ಅವರನ್ನು ಪ್ರೋತ್ಸಾಹಿಸಿ, ಏಕೆಂದರೆ ಪ್ರತಿದಿನ ಸ್ನಾನ ಮಾಡದ ಆ ನೀರಸ ಸ್ಟಿಕರ್ಗಳು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ಗಳನ್ನು ಕಾರ್ಯನಿರ್ವಹಿಸುವಂತೆ ಮಾಡುತ್ತಾರೆ. ನಿಮ್ಮ ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳು ಅವರು ಮಾಡಬೇಕಾದಂತೆ ಕೆಲಸ ಮಾಡಲು ಸಹಾಯ ಮಾಡುವ ಜನರು ಇವರು.
"ಓಹ್, ನಾನು ಈ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ತುರ್ತಾಗಿ ಟೈಪ್ ಮಾಡಬೇಕಾಗಿದೆ!" ಎಂದು ನಿರಂತರವಾಗಿ ಹೇಳುವ ವ್ಯಕ್ತಿಯೊಂದಿಗೆ ನಿಮ್ಮಲ್ಲಿ ಎಷ್ಟು ಜನರು ಒಂದೇ ಕೋಣೆಯಲ್ಲಿ ದೀರ್ಘಕಾಲ ಉಳಿಯಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ ಎಂದು ಹೇಳಿ, ಮತ್ತು ಯಾರು ಯಾವಾಗಲೂ ಇದರಲ್ಲಿ ನಿರತರಾಗಿದ್ದಾರೆ? ಆದರೆ ನಿಮ್ಮ ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳನ್ನು ಕೆಲಸ ಮಾಡುವ ಜನರ ಅಗತ್ಯವಿದೆ.
ನಾನು ಅದನ್ನು ಮತ್ತೊಮ್ಮೆ ಹೇಳುತ್ತೇನೆ - ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳು ಮೂರ್ಖವಾಗಿವೆ ಏಕೆಂದರೆ ದೀಪಗಳು ನಿರಂತರವಾಗಿ ತಪ್ಪುಗಳನ್ನು ಮಾಡುತ್ತವೆ, ನಿರಂತರವಾಗಿ ಕೆಟ್ಟ ಕೆಲಸಗಳನ್ನು ಮಾಡುತ್ತವೆ, ಅವು ಕೇವಲ ಭದ್ರತೆಯನ್ನು ಒದಗಿಸುವುದಿಲ್ಲ. ಸ್ಕ್ರೂಡ್ರೈವರ್ ಹೊಂದಿರುವ ವ್ಯಕ್ತಿಯು ಹೆಚ್ಚು ಅಥವಾ ಕಡಿಮೆ ಸಾಮಾನ್ಯವಾಗಿ ಕೆಲಸ ಮಾಡಲು ಅಗತ್ಯವಿರುವಲ್ಲಿ ಅದನ್ನು ಬಿಗಿಗೊಳಿಸುವ ಅಗತ್ಯವಿಲ್ಲದ ಉತ್ತಮ ಭದ್ರತಾ ಉತ್ಪನ್ನವನ್ನು ನಾನು ಎಂದಿಗೂ ನೋಡಿಲ್ಲ. ಇದು ಕೆಟ್ಟದ್ದು ಎಂದು ಹೇಳುವ ನಿಯಮಗಳ ದೊಡ್ಡ ಪಟ್ಟಿ, ಅಷ್ಟೆ!
ಹಾಗಾಗಿ ನೀವು ಶಿಕ್ಷಣ, ಸುರಕ್ಷತೆ, ಪಾಲಿಟೆಕ್ನಿಕ್ ತರಬೇತಿಯಂತಹ ವಿಷಯಗಳನ್ನು ನೋಡಬೇಕೆಂದು ನಾನು ಬಯಸುತ್ತೇನೆ, ಏಕೆಂದರೆ ಸುರಕ್ಷತೆಯ ವಿಷಯಗಳ ಕುರಿತು ಸಾಕಷ್ಟು ಉಚಿತ ಆನ್ಲೈನ್ ಕೋರ್ಸ್ಗಳಿವೆ. ಪೈಥಾನ್ ಕಲಿಯಿರಿ, ಅಸೆಂಬ್ಲಿ ಕಲಿಯಿರಿ, ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಪರೀಕ್ಷೆಯನ್ನು ಕಲಿಯಿರಿ.
ಇದು ನಿಜವಾಗಿಯೂ ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ರಕ್ಷಿಸಲು ನಿಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಸ್ಮಾರ್ಟ್ ಜನರು ನೆಟ್ವರ್ಕ್ಗಳನ್ನು ರಕ್ಷಿಸುತ್ತಾರೆ, ನೆಟ್ವರ್ಕ್ ಉತ್ಪನ್ನಗಳು ಮಾಡುವುದಿಲ್ಲ! ಕೆಲಸಕ್ಕೆ ಹಿಂತಿರುಗಿ ಮತ್ತು ಹೆಚ್ಚು ಸ್ಮಾರ್ಟ್ ಜನರಿಗೆ ನಿಮಗೆ ಹೆಚ್ಚಿನ ಬಜೆಟ್ ಬೇಕು ಎಂದು ನಿಮ್ಮ ಬಾಸ್ಗೆ ಹೇಳಿ, ಇದು ಬಿಕ್ಕಟ್ಟು ಎಂದು ನನಗೆ ತಿಳಿದಿದೆ, ಆದರೆ ಹೇಗಾದರೂ ಹೇಳಿ - ಜನರಿಗೆ ತರಬೇತಿ ನೀಡಲು ನಮಗೆ ಹೆಚ್ಚಿನ ಹಣ ಬೇಕು. ನಾವು ಉತ್ಪನ್ನವನ್ನು ಖರೀದಿಸುತ್ತೇವೆ ಆದರೆ ಅದನ್ನು ಹೇಗೆ ಬಳಸುವುದು ಎಂಬುದರ ಕುರಿತು ಕೋರ್ಸ್ ಅನ್ನು ಖರೀದಿಸದಿದ್ದರೆ ಅದು ದುಬಾರಿಯಾಗಿದೆ, ನಾವು ಅದನ್ನು ಹೇಗೆ ಬಳಸಬೇಕೆಂದು ಜನರಿಗೆ ಕಲಿಸಲು ಹೋಗದಿದ್ದರೆ ನಾವು ಅದನ್ನು ಏಕೆ ಖರೀದಿಸುತ್ತೇವೆ?
ನಾನು ಬಹಳಷ್ಟು ಭದ್ರತಾ ಉತ್ಪನ್ನ ಮಾರಾಟಗಾರರಿಗೆ ಕೆಲಸ ಮಾಡಿದ್ದೇನೆ, ಆ ಉತ್ಪನ್ನಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನನ್ನ ಸಂಪೂರ್ಣ ಜೀವನವನ್ನು ಕಳೆದಿದ್ದೇನೆ ಮತ್ತು ನಾನು ಎಲ್ಲಾ ನೆಟ್ವರ್ಕ್ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಮತ್ತು ಸ್ಟಫ್ಗಳಿಂದ ಅನಾರೋಗ್ಯದಿಂದ ಬಳಲುತ್ತಿದ್ದೇನೆ ಏಕೆಂದರೆ ನಾನು ಎಲ್ಲಾ ಅಮೇಧ್ಯ ಉತ್ಪನ್ನಗಳನ್ನು ಸ್ಥಾಪಿಸಿ ಮತ್ತು ಓಡಿಸಿದ್ದೇನೆ. ನಾನು ಒಮ್ಮೆ ಕ್ಲೈಂಟ್ಗೆ ಬಂದಿದ್ದೇನೆ, ಅವರು EAP ಪ್ರೋಟೋಕಾಲ್ಗಾಗಿ 802.1x ಮಾನದಂಡವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಬಯಸಿದ್ದರು, ಆದ್ದರಿಂದ ಅವರು ಪ್ರತಿ ಪೋರ್ಟ್ಗೆ MAC ವಿಳಾಸಗಳು ಮತ್ತು ದ್ವಿತೀಯ ವಿಳಾಸಗಳನ್ನು ಹೊಂದಿದ್ದರು. ನಾನು ಬಂದೆ, ಅದು ಕೆಟ್ಟದಾಗಿದೆ ಎಂದು ನೋಡಿದೆ, ತಿರುಗಿ ಪ್ರಿಂಟರ್ನಲ್ಲಿ ಬಟನ್ಗಳನ್ನು ಒತ್ತಲು ಪ್ರಾರಂಭಿಸಿದೆ. ನಿಮಗೆ ತಿಳಿದಿರುವಂತೆ, ಪ್ರಿಂಟರ್ ಎಲ್ಲಾ MAC ವಿಳಾಸಗಳು ಮತ್ತು IP ವಿಳಾಸಗಳೊಂದಿಗೆ ನೆಟ್ವರ್ಕ್ ಉಪಕರಣಗಳ ಪರೀಕ್ಷಾ ಪುಟವನ್ನು ಮುದ್ರಿಸಬಹುದು. ಆದರೆ ಪ್ರಿಂಟರ್ 802.1x ಮಾನದಂಡವನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ ಎಂದು ಅದು ಬದಲಾಯಿತು, ಆದ್ದರಿಂದ ಅದನ್ನು ಹೊರಗಿಡಬೇಕು.
ನಂತರ ನಾನು ಪ್ರಿಂಟರ್ ಅನ್ನು ಅನ್ಪ್ಲಗ್ ಮಾಡಿದ್ದೇನೆ ಮತ್ತು ನನ್ನ ಲ್ಯಾಪ್ಟಾಪ್ನ MAC ವಿಳಾಸವನ್ನು ಪ್ರಿಂಟರ್ನ MAC ವಿಳಾಸಕ್ಕೆ ಬದಲಾಯಿಸಿದೆ ಮತ್ತು ನನ್ನ ಲ್ಯಾಪ್ಟಾಪ್ ಅನ್ನು ಸಂಪರ್ಕಿಸಿದೆ, ಹೀಗೆ ಈ ದುಬಾರಿ MAC ಪರಿಹಾರವನ್ನು ಬೈಪಾಸ್ ಮಾಡಿದೆ, ಅದರ ಬಗ್ಗೆ ಯೋಚಿಸಿ! ಒಬ್ಬ ವ್ಯಕ್ತಿಯು ಯಾವುದೇ ಉಪಕರಣವನ್ನು ಪ್ರಿಂಟರ್ ಅಥವಾ VoIP ಫೋನ್ನಂತೆ ರವಾನಿಸಿದರೆ ಈ MAC ಪರಿಹಾರವು ನನಗೆ ಏನು ಪ್ರಯೋಜನವನ್ನು ನೀಡುತ್ತದೆ?
ಹಾಗಾಗಿ ಇಂದು, ನನ್ನ ಕ್ಲೈಂಟ್ ಖರೀದಿಸಿದ ಭದ್ರತಾ ಉತ್ಪನ್ನವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಮತ್ತು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನಾನು ಸಮಯವನ್ನು ಕಳೆಯುತ್ತಿದ್ದೇನೆ. ಇತ್ತೀಚಿನ ದಿನಗಳಲ್ಲಿ ನಾನು ನುಗ್ಗುವ ಪರೀಕ್ಷೆಯನ್ನು ಮಾಡುವ ಪ್ರತಿಯೊಂದು ಬ್ಯಾಂಕ್ ಈ ಎಲ್ಲಾ HIPS, NIPS, LAUGTHS, MACS ಮತ್ತು ಸಂಪೂರ್ಣ ಅಮೇಧ್ಯವಾದ ಇತರ ಸಂಕ್ಷಿಪ್ತ ರೂಪಗಳನ್ನು ಹೊಂದಿದೆ. ಆದರೆ ಈ ಉತ್ಪನ್ನಗಳು ಏನು ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಿವೆ ಮತ್ತು ಅವರು ಅದನ್ನು ಹೇಗೆ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಿದ್ದಾರೆ ಎಂಬುದನ್ನು ಕಂಡುಹಿಡಿಯಲು ನಾನು ಪ್ರಯತ್ನಿಸುತ್ತಿದ್ದೇನೆ. ನಂತರ, ರಕ್ಷಣೆಯನ್ನು ಒದಗಿಸಲು ಅವರು ಯಾವ ರೀತಿಯ ವಿಧಾನ ಮತ್ತು ತರ್ಕವನ್ನು ಬಳಸುತ್ತಾರೆ ಎಂದು ನಾನು ಲೆಕ್ಕಾಚಾರ ಮಾಡಿದ ನಂತರ, ಅದನ್ನು ಬೈಪಾಸ್ ಮಾಡುವುದು ಕಷ್ಟವೇನಲ್ಲ.
ನಾನು ನಿಮಗೆ ಬಿಡುವ ನನ್ನ ಮೆಚ್ಚಿನ ಉತ್ಪನ್ನವನ್ನು MS 1103 ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ. ಇದು HIPS, ಅತಿಥೇಯ ಒಳನುಗ್ಗುವಿಕೆ ತಡೆಗಟ್ಟುವಿಕೆ ಸಹಿ ಅಥವಾ ಅತಿಥೇಯ ಒಳನುಗ್ಗುವಿಕೆ ತಡೆಗಟ್ಟುವಿಕೆ ಸಹಿಯನ್ನು "ಸ್ಪ್ರೇ" ಮಾಡುವ ಬ್ರೌಸರ್-ಆಧಾರಿತ ಶೋಷಣೆಯಾಗಿದೆ. ವಾಸ್ತವವಾಗಿ, ಇದು HIPS ಸಹಿಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಇದು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ತೋರಿಸಲು ನಾನು ಬಯಸುವುದಿಲ್ಲ ಏಕೆಂದರೆ ನಾನು ಅದನ್ನು ಪ್ರದರ್ಶಿಸಲು ಸಮಯ ಬಯಸುವುದಿಲ್ಲ, ಆದರೆ ಆ ಭದ್ರತೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಉತ್ತಮ ಕೆಲಸ ಮಾಡುತ್ತದೆ ಮತ್ತು ನೀವು ಅದನ್ನು ಪ್ರಯತ್ನಿಸಬೇಕೆಂದು ನಾನು ಬಯಸುತ್ತೇನೆ.
ಸರಿ ಹುಡುಗರೇ, ನಾನು ಈಗ ಹೊರಡುತ್ತಿದ್ದೇನೆ.
ಕೆಲವು ಜಾಹೀರಾತುಗಳು 🙂
ನಮ್ಮೊಂದಿಗೆ ಇರುವುದಕ್ಕೆ ಧನ್ಯವಾದಗಳು. ನೀವು ನಮ್ಮ ಲೇಖನಗಳನ್ನು ಇಷ್ಟಪಡುತ್ತೀರಾ? ಹೆಚ್ಚು ಆಸಕ್ತಿದಾಯಕ ವಿಷಯವನ್ನು ನೋಡಲು ಬಯಸುವಿರಾ? ಆರ್ಡರ್ ಮಾಡುವ ಮೂಲಕ ಅಥವಾ ಸ್ನೇಹಿತರಿಗೆ ಶಿಫಾರಸು ಮಾಡುವ ಮೂಲಕ ನಮ್ಮನ್ನು ಬೆಂಬಲಿಸಿ,
ಆಮ್ಸ್ಟರ್ಡ್ಯಾಮ್ನಲ್ಲಿರುವ Equinix Tier IV ಡೇಟಾ ಸೆಂಟರ್ನಲ್ಲಿ Dell R730xd 2x ಅಗ್ಗವಾಗಿದೆಯೇ? ಇಲ್ಲಿ ಮಾತ್ರ
ಮೂಲ: www.habr.com