Проектування захищених ресурсів за об’єктно-орієнтованим принципом мовою РНР 5

Denys M. Samoilenko

Анотація


Розглянуто особливості реалізації засобів об’єктно-орієнтованої парадигми програмування у мові РНР 5. Виявлено потенційну вразливість програмного коду при невірному використанні «магічних» об’єктних методів. Наведено рекомендації з переозначення усіх таких методів у всіх класах. Описано приклад реалізації атаки ін’єкції РНР коду, який дозволяє отримати відомості про захищені поля об’єктів.

Ключові слова


інформаційна безпека; мережеві ресурси; захист інформації; об’єктно-орієнтована парадигма; РНР

Повний текст:

PDF

Посилання


Dudikevich V., Kret T. Diahnostyka u sferi tekhnichnoho zakhystu informatsii [Diagnostics in technical information protection sphere]. Materialy II Mizhnarodnoi naukovo-tekhnichnoi konferentsii «Zakhyst informatsii i bezpeka informatsiinykh system» [Proc. of the II Int . Scientific and Practical Conf. «Information protection and information systems security»]. Lviv, 2013, pp. 164–165.

Ivanchenko I.S., Khoroshko V.O. Rozvidka u hlobalnii merezhi [Exploration in global net]. Materialy II mizhnarodnoi naukovo-tekhnichnoi konferentsii «Zakhyst informatsii i bezpeka informatsiinykh system» [Proc. of the II Int. Scientific and Practical Conf. «Information protection and information systems security»]. Lviv, 2013, p. 135.

Lafore R. Obektno-orientirovannoe programmirovanie v S++ [Object-oriented programming in C++]. Saint Petersburg, PITER, 2004. 921 p.

ND TZI 1.1-002-99 Zahalni polozhennia shchodo zakhystu informatsii v kompiuternykh systemakh vid nesanktsionovanoho dostupu [General statements on information security in computer systems from unauthorized access]. Kyiv, Security Service of Ukraine, 1999.

ND TZI 2.5-010-2003 Vymohy do zakhystu informatsii WEB – storinky vid nesanktsionovanoho dostupu [Requirements for information security of WEB-page from unauthorized access]. Kyiv, Security Service of Ukraine, 2003.

Reyting yazykov programmirovaniya (Programming languages rating) No. 4, January 2013 / DOU.ua. Available at: http://dou.ua/lenta/articles/language-rating-jan-2013.

Rukovodstvo po PHP. Spravochik нazyka. OOP. (PHP manual. Language documentation. OOP). Available at: http://php.net/manual/ru/language.oop5.php.

Shilov N.V. K opredeleniyu paradigmy parallelnogo programmirovaniya [On parallel programming paradigm selection]. Nauchnyy servis v seti Internet: superkompyuternye tsentry i zadachi: Trudy Mezhdunarodnoy superkompyuternoy konferentsii [Proc. of the Int. Supercomputer Conf. «Internet scientific center: supercomputer centers and problems»]. Moscow, MGU, 2010, pp. 136–139.

Yakobchuk D., Golovin A., Golovin Yu. Sovremennye WEB-ugrozy i uyazvimosti. Tendentsii, prognozy [Modern WEB-threats and vulnerabilities. Trends and prognoses]. Tezisy dokladov XVI mezhdunarodnoy nauchno-prakticheskoy konferentsii «Bezopasnost informatsii v informatsionno-telekommunikatsionnykh sistemakh» [Proc. of the Int. Scientific and Practical Conf. «Information security in information-telecommunication systems»]. Kyiv, 2013. pp. 129–130.

CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection'). Available at: http://cwe.mitre.org/data/definitions/77.html.




DOI: https://doi.org/10.15589/jnn20140313

Посилання

  • Поки немає зовнішніх посилань.