“İnformasiya təhlükəsizliyinin aktual problemləri”
III respublika elmi-praktiki seminarı, 08 dekabr 2017-ci il
95
Şəkil 8. NİKTO boşluqların aşkarlanmasının nəsticəsi
Şəkil 8-dən göründüyü kimi Debian Linux əməliyyat
sistemi üzərində versiyası 2.2.22 olan Apache server istifadə
edilir. Göstərilmiş boşluqlar OSVDB (Open Source
Vulnerability Database) əsaslanır. Bundan əlavə bir çox
boşluqlar aşkarlandı və bunların bəzilərini analiz edək.
Axtarış saytları Google, Yahoo, Yandex, Mail.ru, Bing və.s
saytların axtarış xəritəsini çıxartmaq üçün botlardan istifadə
edir. Bu botlar sayt daxili bütün informasiyaları, faylları,
onların yerləşdiyi yerlərini aşkarlaya bilir. Bu səbəbdən həsas
informasiya olan qovluqları bu botlardan qorumaq üçün
“robots.txt” yaradılır və botların baxmasını istəmədiyiniz
qovluqlar əlavə edilir. Bu da hakerlərə sizin həssas
informasiyanın hansı qovluqlarda olduğunu göstərir. Hər hansı
veb saytda http://domeyn.com/robots.txt ünvanında botlardan
gizlədilmiş qovluqların siyahısını əldə etmək mümkündür.
(Şək.9)
Şəkil 9. “Robots.txt” faylının açılışı
Apache Server sonuncu versiyası 2.4.29 (2017-10-23
tarixində buraxılıb) ancaq NİKTO ilə yoxlanış vaxtı nümunə
veb saytın istifadə etdiyi apache 2.2.22 versiyadır. Bu versiya
üzrə serverə 14 növ hücum etmək mümkündür ancaq onların
ən kritikləri CVE üzrə (CVE-2017-7679, CVE-2017-7668,
CVE-2017-3169, CVE-2017-3167) 4 növdür ki, bu da sistemin
xidmətdən imtinasına gətirib çıxarır.
NƏTİCƏ
Kompüter sistemlərinin tətbiqi və istifadə sahələri artdıqca
onlara olan təhlükələrin və hücumların sayı artır. Belə
məsələlərə hazırlıqlı olmaq üçün kompüter sistemlərinin
təhlükəsizliyinin
qiymətləndirilməsi
və
boşluqların
aşkarlanması əsas məsələlərdən birinə çevrilir.
Texnologiyanın inkişafı yeni IT sahələrinin yaradılması
yeni növ hakerlərin inkişfına gətirib çıxarır. Bu səbəbdən
texnoloji sahələrin təhlükəsizliyini və müdfiəsini təmin etmək
üçün etik hakerlərə ehtiyyac olur. Hakerlərin aqresiv
hücumlarının və informasiya oğurluğunun qarşısını almaq üçün
daim inkişaf edən texnologiya ilə birlikdə yeni təhlükəsizlik
sistemləri, bu sistemləri müdəfiə və konfiqusrasiya edən
savadlı mütəxəssislərə, həmçinin boşluqların axtarılması üçün
yeni metodların yaradılmasına ehtiyyac yaranır.
Müasir hücum alətlərindən istifadə edərək nüfuzetmə
testləri vasitəsi ilə mövcud kompüter şəbəkələrinin cari
təhlükəsizlik vəziyyəti öyrənmək mümkündür. Bu məqalədə
veb saytlara edilən sadə nüfuzetmə test vasitəsi ilə sistemdə
təhlükəsizlik boşluqları yoxlanılnışdır. Ancaq kompüter
şəbəkələrində məqalədə yer alan boşluqlar aradan
qaldırılmazsa bu gələcəkdə ciddi problemlərə gətirib çıxara
bilər.
ƏDƏBİYYAT
[1]
Breach
Level
Index,
“2017
First
Half
Report”,
http://breachlevelindex.com/assets/Breach-Level-Index-Report-H1-
2017-Gemalto.pdf
[2]
H. Tran, E. Campos-Nanez, “Cyber resilience recovery model to combat
zero-day malware attacks,” Computers & Security, vol. 61, 2016,
pp. 19-31
[3]
J. N. Goel, B.M. Mehtre, “Vulnerability assessment & penetration
testing as a cyber defence technology,” Procedia Computer Science, vol.
57, 2015, pp.710-715.
[4]
F. Sano, T. Okamoto, I.Winarno, “A cyber attack-resilient server using
hybrid virtualization,” Procedia Computer Science, vol. 96, 2016,
pp.1627-1636.
[5]
N. Hoque, M. H. Bhuyan, R.C. Baishya, “Network attacks: Taxonomy,
tools and systems,” Journal of Network and Computer Applications, vol.
40, 2014, pp. 307-324.
[6]
P. Khanna, P. Zavarsky, D. Lindskog, “Experimental analysis of tools
used for doxing and proposed new transforms to help organizations
protect against doxing attacks,” Procedia Computer Science, vol. 94,
2016, pp. 459-464.
[7]
Y.N. İmamverdiyev, G.B. Qarayeva, “Botnetlər və onların aşkarlanması
üsulları,” İnformasiya Texnologiyaları Problemləri, 2017, №1, s.100-
111.
[8]
K. Bicakci, D. Unal, “Mobile Authentication Secure Against Man-In-
The-Middle Attacks,” Procedia Computer Science, vol. 34, 2014,
pp. 323-329.
[9]
Z. Mohd Yusop, J. Abawajy, “Analysis of insiders attack mitigation
strategies,” Procedia - Social and Behavioral Sciences, vol. 129, 2014,
pp. 581-591.
[10]
Wikipedia, Haker, https://az.wikipedia.org/wiki/Haker
[11]
W.Thomas; A.Jason, “Ninja hacking: Unconventional penetration
testing tactics and techniques.” Elsevier. pp. 26-7.
[12]
R. Seebruck, “A typology of hackers: Classifying cyber malfeasance
using a weighted arc circumplex model,” Digital Investigation, vol. 14,
2015, pp.36-45.
[13]
T. Caldwell, “Ethical hackers: putting on the white hat,” Network
Security, vol. 2011, no. 7, 2011, pp.10-13.
[14]
Y.N. İmamverdiyev, “Kiberqoşunlar: funksiyaları, silahları və kadr
potensialı,” İnformasiya Cəmiyyəti Problemləri, 2015, №2, s.15-25.
[15]
Kali Linux, official website, https://www.kali.org/about-us/
[16]
H.S.B. Herath, T.C. Herath, “IT security auditing: A performance
evaluation decision model,” Decision Support Systems, vol. 57, 2014,
pp. 54-63.
[17]
G. Stergiopoulos, D. Gritzalis, “Hacking and penetration testing with
low power devices,” Computers & Security, vol. 49, 2015, pp. 274-275.
Dostları ilə paylaş: |