Endi perimeter attacks ni o‘rganishni boshlash vaqti keldi. Perimeter attacks deganda, internet orqali ishonchli tarzda amalga oshirilishi mumkin bo‘lgan infiltration methods tushuniladi. Boshqacha aytganda, bu hujumlar biror tashkilotning ichki network iga hech qanday kirish imkoniyatisiz boshlanishi mumkin bo‘lgan usullardir.

Biz Web Application attacks ni keng qamrovli o‘rganishdan boshlaymiz. Buning ikkita asosiy sababi bor. Birinchisi, Web vulnerabilities eng keng tarqalgan attack vector lar sirasiga kiradi, chunki zamonaviy web apps odatda foydalanuvchilarga ma’lumot kiritishga imkon beradi. Ikkinchisi esa, web applications vizual jihatdan aniq va tushunarli bo‘lgani sababli, hujumlarimiz qanday ishlashini yaxshiroq tushunishga yordam beradi.

Introduction to Web Applications moduli metodologiya, toolset va enumeration framework ni qamrab oladi, bu esa butun kurs davomida bizga yordam beradi. Shundan so‘ng, bizning birinchi vulnerability class – Cross-Site Scripting (XSS) bilan tanishamiz. XSS ni o‘rganish uchun eng yaxshi vulnerability laridan biri, chunki u web application ning server qismiga emas, balki foydalanuvchisini nishonga oladi. Biz kundalik hayotimizda web applications dan odatiy foydalanuvchilar sifatida foydalanamiz, shuning uchun XSS boshqa hujum turlariga nisbatan ancha intuitiv tushunarli bo‘lishi mumkin.

XSS foydalanuvchilarni nishonga olgani sababli, uni nafaqat Web Application attack, balki tez orada o‘rganadiganimizdek, Client-Side Attack sifatida ham tasniflash mumkin.

Biz web application attacks ni Common Web Application Attacks bo‘limida davom ettiramiz va to‘rtta turli xil vulnerability ni o‘rganamiz:

• Directory Traversal – bu zaiflik bizga ruxsat berilmagan ma’lumotlarga kirish imkonini qanday berishi mumkinligini ko‘rsatadi.
• File Inclusion – web administrator lar tomonidan noto‘g‘ri sozlangan konfiguratsiyalar qanday ekspluatatsiya qilinishi mumkinligini tushuntiradi.
• File Upload Vulnerabilities – web server ga o‘z fayllarimizni yuklash imkoniyatidan qanday foydalanish mumkinligini namoyish qiladi.
• Command Injection – bizning ixtiyorimizdagi kodni web server da bajarishga imkon beradigan vulnerability turini o‘rgatadi.

Bizning web-based attacks bo‘yicha o‘rganishimiz SQL Injection (SQLi) ga bag‘ishlangan alohida Module bilan yakunlanadi. SQL muhim vulnerability class hisoblanadi, chunki u juda keng tarqalgan bo‘lib, tizimdagi zaifliklar qanday qilib bir nechta component lar o‘zaro murakkab usulda ishlashi natijasida yuzaga kelishini tushunishga yordam beradi. SQL holatida, web server va database o‘zaro muayyan tarzda sozlangan bo‘lishi kerak, aks holda biz – attackers – ularni ekspluatatsiya qilish imkoniga ega bo‘lamiz.

Client-Side Attacks – tashqi hujumlarning yana bir keng tarqalgan turi bo‘lib, ular asosan computer system foydalanuvchilarini nishonga olish usullarini o‘z ichiga oladi. Ushbu Module da biz quyidagilarni o‘rganamiz:

• Reconnaissance – tizim bo‘yicha dastlabki razvedka qilish usullari.
• Microsoft Office attacks – Microsoft Office kabi keng qo‘llaniladigan dasturlar foydalanuvchilarini qanday hujum qilish mumkinligi.
• Microsoft Library Files exploitation – Microsoft kutubxona fayllaridan qanday suiiste’mol qilish mumkinligi.