1. احراز هویت و مکانیزم های آن فهیمه پارسایی دانشجوی رشته تجارت الکترونیک بهمن 89

2. سازوکارهای امنيتي(SecurityMechanism) تائيدهويت authentication اجازه authorization مميزي auditing

4. احرازهویت چیزی که کاربر بداند رمز عبور متنی، رمز عبور تصویری چیزی که کاربر مالک آن است توکن‏های امنیتی، کارت‏های هوشمند چیزی که کاربر از نظر بیولوژیک دارد اثر انگشت، الگوی شبکه چشم، تشخیص چهره، تشخیص صدا

5. کلمه عبور رایج‏ترین نوع احراز هویت است. مزیت پیاده سازی بسیار ساده معایب می توان آن را حدس زد. به آسانی به دیگری داده می شود. یادآوری آن، به ویژه اگر مرتبا استفاده نشود، همیشه آسان نیست. آموزش کاربران

6. توکن توکن دارای حافظه‏ای برای انجام عملیات رمز‏نگاری و نگهداری گواهی‏های الکترونیکی هستند و با استفاده از ریز تراشه موجود در آن ها و بکارگیری الگوریتم های پیچیده، عملیات رمز نگاری انجام می شود تنها شخصی که دارنده توکن می باشد، می تواند با وارد کردن کلمه عبور توکن به اطلاعات محرمانه دسترسی پیدا کند.

7. بیومتریک استفاده از خصوصیات فیزیکی اشخاص مزیت غیر قابل دسترسی، گم شدن، فراموشی عیب هزینه‏، نصب، نگهداری

8. احراز هویت بر اساس رویکرد چالش و پاسخ چالش و پاسخ (challenge and Response): یکی از طرفین ، یک عدد یا رشته ای تصادفی تولید وآن را برای طرف مقابل خود می فرستد. طرف مقابل باید تبدیل خاصی را روی آن اعمال کند و نتیجه را برگرداند. به عدد یا رشته ی تصادفی «رشته چالش nonce »گفته می شود. nonce در محدوده ای بزرگ (حداقل 128 بیت) باشد باید کاملا تصادفی باشد

9. آلیس و باب قبلا در خصوص یک کلید سری و متقارن طبق روشی مطمئن به توافق رسیده اند.این کلید متقارن نامیده می شود. از آنجا که تحت هیچ شرایطی کلید رمز نباید بر روی شبکه منتقل شود لذا آنها برای احراز هویت یکدیگر به رویکرد چالش و پاسخ متوسل می شوند. A معرف آليس B معرف باب R معرف رشته چالش K معرف كليد

10. آلیس باب A B 1 A 2 3 4 5 زمان زمان آغاز نشست

11. نقد و بررسی یکی از مشکلات این روش حمله بازتاب است. T B باب اخلال گر 1 2 3 4 5 زمان زمان آغاز نشست

12. A B راهکار ترکیب روش های فوق امنیت را در برابر حمله بازتاب بالا می برد. طراحی سیستم به گونه ای باشد که به محض مشاهده اطلاعات یک نشست در نشست موازی دیگر، سیستم هر دو نشست را قطع کند طرفین به گونه ای رشته های چالش خود را از مجموعه های متفاوت انتخاب کنند که اممکان جعل هویت نباشد

13. MAC يکي از اينHash Function ها MAC است. کاري که MAC ميکند اينست که يک کليد را که secret key است بهمراه يک پيام بعنوان ورودي قبول ميکند و يک خروجي ميدهد بنام Message Authentication Code کد شناسايي هويتي که به آن پيام تعلق دارد و کاربرد اصلي اين تابع اينست که زمانيکه پيامي را براي فردي ارسال ميکنيم آن فرد بتواند از هويت اصلي فرد فرستنده اطمينان حاصل کند و مطمئن شود که فردي پيام را برايش ارسال کرده که آن انتظارش را داشته و ارسال کننده اصلي پيام است.

14. HMAC

15. A B C HMAC پیاده سازی این روش در سطح سخت افزار هزینه کم و سرعت بالایی دارد برای دو موجودیت که از طریق یک لینک مستقیم به یکدیگر متصلند ، بسیار مفید است. باید فرض شود که قبلا فرایند شناسایی مقدماتی و مبادله ی شناسه های کاربری صورت گرفته و این مکانیزم صرفا برای اثبات درستی ادعای طرفین است. این الگوریتم با یک روش رمزنگاری متقارن مثل AES یا serpent قابل جایگزین است. D

18. نقد وبررسی یکی از خطرات بسیار مهم «حمله تکرار» است. زیرا اخلالگر ثالث می تواند پیام های بین طرفین بدون هیچ فهمی از محتوا استراق سمع کند.

20. رشته های دارای اعتبار زمانی فقط در بافر نگهداری می شوند. به کارگیری «مهر زمان» به منظور تشخیص تازگی پیام در هر پیام رشته تصادفی nonce باشد و گیرنده با مراجعه به فایل نگهداری سابقه پیام ها، تکراری بودن را بررسی کند.

23. نقد و بررسی اگر اخلالگر بلیط وکلید نشست را استراق سمع کند. میتواند از مرحله سوم حمله تکرار را آغاز کند. کلید نشست معمولا یک بار مصرف و هر بار تغییر می کنند و عموما افراد و نرم افزار ها در نگهداری آن دقت نمی کنند.

27. کارگزار کربروس

28. کارفرمایان

29. کارگزاران كاربردي Application Servers

30. کارگزار کربروس گذرواژه تمام کاربران را در پایگاه داده خود دارد.

31. کارگزار کربروس با هر کارگزار كاربردي کلیدی مخفی به اشتراک گذاشته است.

33. آلیس Server AS TGS A B سرویس دهنده احراز هویت سرویس دهنده صدوربلیط سرویس دهنده شبکه 1 A 2 3 4 5 6 زمان زمان آغاز نشست

34. بلیط در واقع نوعي گواهي است كه هنگام ورود كاربر به قلمرو کربروس به او داده مي شود كه بيانگر اعتبار او براي دسترسي به منابع شبكه مي باشد.

36. TGS: Ticket Granting Server

37. کارگزار احراز هويت،AS، کماکان وجود دارد.

38. بليط «اعطاء بليط» ticket-granting ticket توسط آن صادر می شود.

39. اگرچه بليطهای اعطاء خدمات توسط TGS صادر ميشوند.

40. بليط «اعطاء خدمات» service-granting ticket

43. رمزنگاری TicketTGS جهت احراز هویت

44. تنها کارفرما می تواند به بليط رمزشده دسترسی پيدا کند.

45. رمز نمودن محتوای بلیطها تمامیت (Integrity) را فراهم میکند.

46. استفاده از مهر زمانی (Timestamp) در بلیطها آنها را برای یک بازه زمانی تعریف شده قابل استفاده مجدد میکند.

47. هنوز از آدرس شبکه برای احراز هویت بهره میگیرد.

48. چندان جالب نیست زیرا آدرس شبکه جعل (Spoof) میشود.

50. زمان كوتاه : نياز به درخواست هاي زياد گذرواژه

51. زمان بلند : خطر حمله تکرار

52. هويت شناسی يکسويه : عدم احراز هويت کارگزارتوسط كارفرما

55. بدست آوردن زمان انقضاي بليط(TS2)

57. تمامی با کلید کارگزار رمز شده اند بلیط کارگزار کلید جلسه بین کارفرما و کارگزار شناسهکارفرما مهر زمانی و دوره اعتبار بلیط آدرس کارفرما شناسهTGS

58. تمامی با کلید جلسه رمز شده اند شناسهکارفرما اعتبار نامه کارفرما مهر زمانی آدرس کارفرما

63. نام نمادین سرویس دهنده

64. آدرس ماشین مشتری

65. کلید نشت

66. زمان اعتبار بلیط

68. برای توصیف داده ها از نماد گذاری ASN.1 استفاده شده است و سعی شده وابستگی به DES از بین برودو امکان رمزنگاری متقارن در سیستم وجود داشته باشد.

71. نتیجه گیری در تمام روش های معرفی شده از رایج ترین مکانیزم های مورد استفاده در شبکه های کامپیوتری و تجارت الکترونیک ترکیبی از Kerberos 5 و استفاده از کلیدهای عمومی(نامتقارن) مانند RSA است که امنیت روش Kerberos 5 را به طور شایانی افزایش می دهد.

72. بررسی حملهInjectionSql و روش مقابله با آن

74. بسیاری از حمله‏ها در سطح برنامه صورت می‏گیرد و یکی از مهم‏ترین آنها Sql Injection است. در این نوع حمله پایگاه داده سایت مورد حمله قرار می‏گیرد.

75. این حمله در بسیاری از مواقع برای جعل هویت فرد و دستیابی به داده ها به شکل غیر مجاز به کار می رود.

76. اولين بار حمله Sql Piggybackingيا Sql Injection در اواخر سال 1998 مطرح شد.

77. طبق بررسي‌هايي كه از سال 2002 تا 2007 انجام شد نشان داد که بيش از 10 درصد از كل آسيب‌پذيري‌ها مربوط به Sql Injection بوده و 20 درصد از اين آسيب‌پذيري‌ها مربوط به اعتبارسنجي داده‌هاست.

80. هدف حمله: تشخیص پارامتر‏های تزریق،تعریف شمای بانک اطلاعاتی،اضافه یا تعریف داده،گذر کردن از احراز هویت،اجرای دستورات

81. نمونه‏هایی از حملات:Union Query, Piggy Backed Query،توابع و..

84. هدف: تشخیص پارامترهای تزریق،performing database fingerprinting،تعریف شمای پایگاه داده،Extracting Data، اضافه یا دستکاری داده‏ها،performing denial of service ،avoiding detection ، By passing authentication ،Executed remote command

85. نمونه‏هایی از حملات: همه‏ی حمله‏ها را می‏تواند به کار برده شود به خصوص حمله‏های استفاده از استنتاج

88. هدف حمله: تشخیص پارامتر‏های تزریق،تعریف شمای بانک اطلاعاتی،اضافه یا تعریف داده،گذر کردن از احراز هویت،اجرای دستورات Remotes دوری از تشخیص

89. نمونه‏هایی از حملات:Union Query, Piggy Backed Query،توابع و..Illegal/Logically Incorrect Queries

92. هدف حملهPerforming Privilege Escalation:،گذر کردن احراز هویت‏ها، بدست آوردن مقدار داده‏ها

93. نمونه‏هایی از حملاتpiggy backed query, tautology :

96. هدف حمله: جهت فهمیدن ورژن بانک ،نوع بانک ،شمای بانک،تشخیص پارامترهای تزریق،بدست آوردن مقدار داده‏ها، Performing DenialOf Service

97. نمونه‏هایی از حملات:Union Query, Tautology,، Legal/Logically Incorrect Queries،Piggy Back Query ، استفاده از وقفه‏های زمانی

100. هدف: اضافه و تغییر دستورات،اجرای دستورات Remote،تشخیص پارامترهای تزریق

101. نمونه‏هایی از حملات: Union Query‏ها،توابع ،Store Procedure‏ها

104. هدف حمله: اضافه و تغییر داده‏ها،اجرای دستوراتRemote

105. نمونه‏هایی از حملات: توابع و Store Procedure‏ها

108. هدف حمله: بدست آوردن شمای بانک،بدست آوردن مقدار داده‏ها،Performing Denial Of Service

109. نمونه‏هایی از حملات: توابع و Store Procedure‏ها

113. سازگاري پيغام خطاها

115. عدم دسترسی به فایل‏های سیستمی

116. غیر فعال کردنAdhoc

117. اعتبارسنجي ورودی‏ها

118. Escaping Table Name

120. ﺑـﺮاي ﺟﻠـﻮﮔﯿﺮي از ‪Sql Injectionﺧـﻮب اﺳـﺖ ﮐـﻪ از ﮔـﺰارشﻫـﺎي ﭘـﺎراﻣﺘﺮي ﺷـﺪه اﺳﺘﻔﺎده شود.

121. همچنین توصیه می‏شود تا به پروتکلهای جدید سیستم‏های پرداخت الکترونیک آشنا باشند و پروتکلهای مورد استفاده خود را به روز کنند.

122. در ضمن باید از امنیت پرتال پرداخت بانک اطمیینان کامل داشت.

123. علاوه بر آن آشنایی با قوانین حقوقی می‏تواند در بسیاری از موارد خسارت‏های احتمالی ناشی از حمله را جبران کند.

124. ﻫﻤﭽﻨﯿﻦ ﺑﺴﯿﺎر ﻣﻬﻢ اﺳﺖ ﮐﻪ ‪ Security Fixبه‏روز ﺑﺎﺷد.

126. بسیاری از نفوذهایی که به یک Web Application می‏شود ناشی از نقص، حفره‍هاي برنامه‏نويسي و ضعف بانک اطلاعاتی می‏باشد.

127. در سالهای اخیر مهمترین حملات به پایگاه داده مخصوصا در مورد سایتها با قابلیت پرداخت الکترونیک و کارتهای کریدیت

129. Andrews . Tanenbaum , Computer Networks, Fourth Edition,2003

130. Matthew Strebe, Foundation Network Security,2004

131. Kachakil D, 2009, Sfx-SQLi (Select For Xml SQL Injection)

132. Thomas S , Williams L, Xie T, 2008, On Automated Prepared Statement Generation To Remove SQL Injection Vulnerabilities, Information And Software Technology ,

133. Chris A , 2002,Advanced SQL Injection, An Ngssoftware Insight Security Research (Nisr) Publication

134. Halfond W, Viegas J, Orso A,2006,A Classification of SQL Injection

135. Mitropoulos D, Spinellis D, 2008, Sdriver: Location-Specific Signatures Prevent SQL Injection Attacks, Compute R S & S E C U R I T Y Xx X ( 2 0 0 8).

136. Malware Detection, 2007,Chapter2,Halfond W And OrsoA,”Detection And Prevention Of SQL Injection Attacks”, Springer Us, Volume 27, Isbn978-0-387-32720-4 (Print) 978-0-387-44599-1 (Online)