4. احرازهویت چیزی که کاربر بداند رمز عبور متنی، رمز عبور تصویری چیزی که کاربر مالک آن است توکنهای امنیتی، کارتهای هوشمند چیزی که کاربر از نظر بیولوژیک دارد اثر انگشت، الگوی شبکه چشم، تشخیص چهره، تشخیص صدا
5. کلمه عبور رایجترین نوع احراز هویت است. مزیت پیاده سازی بسیار ساده معایب می توان آن را حدس زد. به آسانی به دیگری داده می شود. یادآوری آن، به ویژه اگر مرتبا استفاده نشود، همیشه آسان نیست. آموزش کاربران
6. توکن توکن دارای حافظهای برای انجام عملیات رمزنگاری و نگهداری گواهیهای الکترونیکی هستند و با استفاده از ریز تراشه موجود در آن ها و بکارگیری الگوریتم های پیچیده، عملیات رمز نگاری انجام می شود تنها شخصی که دارنده توکن می باشد، می تواند با وارد کردن کلمه عبور توکن به اطلاعات محرمانه دسترسی پیدا کند.
7. بیومتریک استفاده از خصوصیات فیزیکی اشخاص مزیت غیر قابل دسترسی، گم شدن، فراموشی عیب هزینه، نصب، نگهداری
8. احراز هویت بر اساس رویکرد چالش و پاسخ چالش و پاسخ (challenge and Response): یکی از طرفین ، یک عدد یا رشته ای تصادفی تولید وآن را برای طرف مقابل خود می فرستد. طرف مقابل باید تبدیل خاصی را روی آن اعمال کند و نتیجه را برگرداند. به عدد یا رشته ی تصادفی «رشته چالش nonce »گفته می شود. nonce در محدوده ای بزرگ (حداقل 128 بیت) باشد باید کاملا تصادفی باشد
9. آلیس و باب قبلا در خصوص یک کلید سری و متقارن طبق روشی مطمئن به توافق رسیده اند.این کلید متقارن نامیده می شود. از آنجا که تحت هیچ شرایطی کلید رمز نباید بر روی شبکه منتقل شود لذا آنها برای احراز هویت یکدیگر به رویکرد چالش و پاسخ متوسل می شوند. A معرف آليس B معرف باب R معرف رشته چالش K معرف كليد
11. نقد و بررسی یکی از مشکلات این روش حمله بازتاب است. T B باب اخلال گر 1 2 3 4 5 زمان زمان آغاز نشست
12. A B راهکار ترکیب روش های فوق امنیت را در برابر حمله بازتاب بالا می برد. طراحی سیستم به گونه ای باشد که به محض مشاهده اطلاعات یک نشست در نشست موازی دیگر، سیستم هر دو نشست را قطع کند طرفین به گونه ای رشته های چالش خود را از مجموعه های متفاوت انتخاب کنند که اممکان جعل هویت نباشد
13. MAC يکي از اينHash Function ها MAC است. کاري که MAC ميکند اينست که يک کليد را که secret key است بهمراه يک پيام بعنوان ورودي قبول ميکند و يک خروجي ميدهد بنام Message Authentication Code کد شناسايي هويتي که به آن پيام تعلق دارد و کاربرد اصلي اين تابع اينست که زمانيکه پيامي را براي فردي ارسال ميکنيم آن فرد بتواند از هويت اصلي فرد فرستنده اطمينان حاصل کند و مطمئن شود که فردي پيام را برايش ارسال کرده که آن انتظارش را داشته و ارسال کننده اصلي پيام است.
15. A B C HMAC پیاده سازی این روش در سطح سخت افزار هزینه کم و سرعت بالایی دارد برای دو موجودیت که از طریق یک لینک مستقیم به یکدیگر متصلند ، بسیار مفید است. باید فرض شود که قبلا فرایند شناسایی مقدماتی و مبادله ی شناسه های کاربری صورت گرفته و این مکانیزم صرفا برای اثبات درستی ادعای طرفین است. این الگوریتم با یک روش رمزنگاری متقارن مثل AES یا serpent قابل جایگزین است. D
16.
17.
18. نقد وبررسی یکی از خطرات بسیار مهم «حمله تکرار» است. زیرا اخلالگر ثالث می تواند پیام های بین طرفین بدون هیچ فهمی از محتوا استراق سمع کند.
19.
20. رشته های دارای اعتبار زمانی فقط در بافر نگهداری می شوند. به کارگیری «مهر زمان» به منظور تشخیص تازگی پیام در هر پیام رشته تصادفی nonce باشد و گیرنده با مراجعه به فایل نگهداری سابقه پیام ها، تکراری بودن را بررسی کند.
21.
22.
23. نقد و بررسی اگر اخلالگر بلیط وکلید نشست را استراق سمع کند. میتواند از مرحله سوم حمله تکرار را آغاز کند. کلید نشست معمولا یک بار مصرف و هر بار تغییر می کنند و عموما افراد و نرم افزار ها در نگهداری آن دقت نمی کنند.
68. برای توصیف داده ها از نماد گذاری ASN.1 استفاده شده است و سعی شده وابستگی به DES از بین برودو امکان رمزنگاری متقارن در سیستم وجود داشته باشد.
69.
70.
71. نتیجه گیری در تمام روش های معرفی شده از رایج ترین مکانیزم های مورد استفاده در شبکه های کامپیوتری و تجارت الکترونیک ترکیبی از Kerberos 5 و استفاده از کلیدهای عمومی(نامتقارن) مانند RSA است که امنیت روش Kerberos 5 را به طور شایانی افزایش می دهد.
72. بررسی حملهInjectionSql و روش مقابله با آن
73.
74. بسیاری از حملهها در سطح برنامه صورت میگیرد و یکی از مهمترین آنها Sql Injection است. در این نوع حمله پایگاه داده سایت مورد حمله قرار میگیرد.
75. این حمله در بسیاری از مواقع برای جعل هویت فرد و دستیابی به داده ها به شکل غیر مجاز به کار می رود.
76. اولين بار حمله Sql Piggybackingيا Sql Injection در اواخر سال 1998 مطرح شد.
77. طبق بررسيهايي كه از سال 2002 تا 2007 انجام شد نشان داد که بيش از 10 درصد از كل آسيبپذيريها مربوط به Sql Injection بوده و 20 درصد از اين آسيبپذيريها مربوط به اعتبارسنجي دادههاست.
78.
79.
80. هدف حمله: تشخیص پارامترهای تزریق،تعریف شمای بانک اطلاعاتی،اضافه یا تعریف داده،گذر کردن از احراز هویت،اجرای دستورات
132. Thomas S , Williams L, Xie T, 2008, On Automated Prepared Statement Generation To Remove SQL Injection Vulnerabilities, Information And Software Technology ,
133. Chris A , 2002,Advanced SQL Injection, An Ngssoftware Insight Security Research (Nisr) Publication
135. Mitropoulos D, Spinellis D, 2008, Sdriver: Location-Specific Signatures Prevent SQL Injection Attacks, Compute R S & S E C U R I T Y Xx X ( 2 0 0 8).
136. Malware Detection, 2007,Chapter2,Halfond W And OrsoA,”Detection And Prevention Of SQL Injection Attacks”, Springer Us, Volume 27, Isbn978-0-387-32720-4 (Print) 978-0-387-44599-1 (Online)