- •Томский государственный университет систем управления и радиоэлектроники (тусур)
- •Обзор уязвимостей программной части. Способы их обнаружения и устранения
- •Содержание
- •1 Введение
- •2 Классификация уязвимостей
- •3 Методы обнаружения уязвимостей
- •3.1 Ручной поиск
- •3.2 Поиск по шаблонам
- •3.3 Фазинг
- •4 Способы устранения уязвимостей
- •4.1 Корректировка исходных кодов программ
- •4.2 Использование неисполняемых буферов
- •4.3 Применение проверок выхода за границы
- •4.4 Решение проблемы неинициализированных данных
- •4.5 Защита от sql-инъекций
- •4.6 Защита от xss-инъекций
- •4.7 Шифрование паролей
- •Заключение
- •Список использованных источников
4.7 Шифрование паролей
Так же существуют уязвимости, связанные с паролями, хранящиеся в программе. Для решения данной уязвимости в большинстве случаев используют шифрование паролей.
Их задача преобразовать желаемый пароль в набор символов (цифр и букв) таким образом, чтобы конечный результат был, грубо говоря, необратим. Последнее означает, что шифрование паролей алгоритмами делает взлом длительным и проблематичным, ибо заставляет злоумышленника потратить значительное количество времени на подбор возможных комбинаций, чтобы только подобрать шифр к паролю, но не сам пароль, ибо соответствий по алгоритму может быть несколько.
Заключение
В ходе данной работы были рассмотрены: классификация уязвимостей программной части, основные методы поиска уязвимостей, а так же основные методы их устранения.
Таким образом, для реализации хорошо защищенной программы в распоряжении программиста находится множество утилит и программ для поиска и устранения уязвимостей.
Но в тоже время не стоит забывать, что абсолютно защищенных программ не бывает, и остается только по возможности максимально избавиться от уязвимостей программы.
Список использованных источников
Грег Хогланда и Гари Мак-Гроу. Взлом программного обеспечения: анализ и использование кода. — Пер. с англ. — М.: Издательский дом "Вильяме", 2005. — 400 с.: ил.
Аудит программного кода по требованиям безопасности. [Электронный ресурс]: Information Security (Информационная безопасность). URL - http://www.itsec.ru/articles2/control/audit_progr_koda_treb_bezopasn (Дата обращения: 12.11.12)
Саттон М., Грин А., Амини П. Fuzzing: исследование уязвимостей методом грубой силы. - Пер. с англ. - СПб: Символ-Плюс, 2009. - 560 с.