قسمتی از فهرست عناوین اسلایدها:
- شناسنامه تحقیق
- مواردی که به آنها خواهیم پرداخت
- حمله به نرم افزار – نرم افزارهای کاربردی
- نرم افزارهای کاربردی – حملات سرریز بافر
- حملات سرریز بافر – بررسی Payload ها
- حملات سرریز بافر – Exploit Frameworks
- Metasploit Framework
- حملات سرریز بافر – علت بروز مشکل
- شناسایی مشکلات امنیتی نرم افزار
- شناسایی مشکلات امنیتی نرم افزار – Code Audit
- شناسایی مشکلات امنیتی نرم افزار- Fuzzing
- شناسایی مشکلات امنیتی نرم افزار- Binary Analyze
- شناسایی مشکلات امنیتی نرم افزار
- مقابله با حملات سرریز بافر
- حمله به نرم افزارهای تحت وب
- حملات علیه کلمات عبور
بخشهایی از متن پاورپوینت:
- مواردی که به آنها خواهیم پرداخت
بررسی روش های حمله به نرم افزارها
نرم افزارهای کاربردی
مروری بر حملات سرریز بافر
نرم افزارهای تحت وب
مروری بر حملات رایج (SQLi, XSS, Harvesting, …)
بررسی روش های کشف ضعف های امنیتی
بازبینی کد (Source-code Audit)
Fuzzing & Fault-Injection
Binary Analyzing
بررسی روش های مقابله با حملات
سیستم های محافظتی موجود در سطح سیستم عامل و سخت افزار
سیستم های محافظتی ایجاد شده توسط نرم افزارهای جانبی
- شناسایی مشکلات امنیتی نرم افزار
سه روش کلی یاد شده هر یک به تنهایی میتوانند نتیجه های خوبی را در حاصل شوند
ترکیب روش های فوق ، بازدهی آنالیز را بسیار افزایش میدهد
یک دیدگاه در این مورد ، ترکیب Fuzzing با آنالیز کد میباشد
همزمان با Fuzzing ، سورس کد نیز بررسی میگردد تا میزان cove-coverage در زمان Fuzzing مشخص گردد .
با این روش میتوان مشخص کرد که کدام یک از بخش های نرم افزار یا کد توسط Fuzzer پوشش داده شده ، و کدام بخش ها عملآ بررسی نشده
http://en.wikipedia.org/wiki/Code_coverage
دیدگاه دیگر ، ترکیب Fuzzing با آنالیز Binary در زمان اجرای نرم افزار میباشد.
استفاده از Debugger/Disassembler ها برای راهنمایی Fuzzer ها
افزایش Code Coverage در Fuzzing
مقاله جالب ”Effective Bug Discovery“ http://uninformed.org/?v=all&a=27&t=pdf
”Evolutionary Fuzzing System“ یک framework با دیدی جدید نسبت به Fuzzing
فراگرفتن پروتکل های جدید بصورت پویا و کمک گرفتن از آنالیز نرم افزار در زمان اجرا
http://www.vdalabs.com/tools/efs_gpf.html
- حملات علیه کلمات عبور
تقسیم بندی کلی حملات
Online Attacks
تمرکز بر روی کشف نام کاربری و کلمه عبور از طریق اقدام به تعامل با سرویس
نیازمند اقدام به برقراری ارتباط با هدف بطور مستقیم برای حدس کلمات عبور
نیازمند در دسترس بودن سرویس های خاص بمنظور تعامل با آنها
قابلیت شناسایی آسان بدلیل حجم ترافیک و رویداد های تولید شده در طول حمله
سرعت بسیار پایین در مقایسه با حملات Offline ، و وابسته به منابع شبکه
عدم نیاز به قدرت پردازش بالا در سمت نفوذگر
Offline Attacks
تمرکز بر روی شکستن کلمات عبور رمز/کد شده که از هدف بدست آمده
عدم نیاز به برقراری ارتباط با هدف در طول حمله
نیازمند تعامل با سرویس / سیستم تنها بمنظور استخراج کلمات عبور رمز شده
امکان شناسایی تنها در زمان استخراج کلمات عبور رمز شده (در شرایط خاص)
سرعت بسیار بالا ( وابسته به روش رمزنگاری بکار برده شده )
نیازبه قدرت پردازش بالا در سمت نفوذگر
مشخصات تحقیق
رشته: کامپیوتر
پدید آورنده: سید حمید کشفی
نوع فایل: pptx – پاورپوینت
تعداد اسلایدها: 57
- لینک دانلود فایل بلافاصله بعد از پرداخت وجه به نمایش در خواهد آمد.
- همچنین لینک دانلود به ایمیل شما ارسال خواهد شد به همین دلیل ایمیل خود را به دقت وارد نمایید.
- ممکن است ایمیل ارسالی به پوشه اسپم یا Bulk ایمیل شما ارسال شده باشد.
- در صورتی که به هر دلیلی موفق به دانلود فایل مورد نظر نشدید با ما تماس بگیرید.