منظور از حملات تزریق (Injection Attack) چیست ؟
حملات تزریق به طبقه گسترده ای از بردارهای حمله اشاره دارد . در حمله تزریق ، یک حمله کننده ، ورودی غیرقابل اعتماد (باگ) به یک برنامه را پیدا می کند . این باگ توسط مترجم به عنوان بخشی از یک فرمان یا پرس و جو پردازش می شود . این به نوبه خود ، اجرای آن برنامه را تغییر می دهد با تک تیپ همراه باشید .
Injection Attack
تزریق از قدیمی ترین و خطرناکترین حملات با هدف برنامه های وب است. آنها می توانند منجر به سرقت داده ها ، از بین رفتن داده ها ، از بین رفتن تمامیت داده ها ، مشکل سرویس و همچنین به خطر افتادن کامل سیستم شوند . دلیل اصلی آسیب پذیری های تزریق ، معمولاً امنیت کافی برای ورود کاربر نیست.
حملات SQL اینجکشن (SQLi) و Cross-site Scripting یا XSS شایعترین حملات تزریقی هستند اما تنها آنها نیستند
این نوع حمله یک مشکل اساسی در امنیت وب محسوب می شود. این به عنوان یک ریسک امنیتی شماره یک در وب با رتبه ۱۰ در استاندارد OWASP ذکر شده است و به یک دلیل خوب . حملات تزریق ، به ویژه SQL Injections (حملات SQLi) و Cross-site Scripting یا (XSS) ، نه تنها بسیار خطرناک بلکه بسیار گسترده هستند ، به ویژه در برنامه های قدیمی .
آنچه آسیب پذیری های تزریق را به خصوص ترسناک می کند این است که سطح حمله بسیار گسترده باشد (به خصوص برای آسیب پذیری های XSS و SQL Injection) . علاوه بر این حملات تزریقی ، حملات آسیب پذیری کاملاً درک شده هستند . این بدان معناست که بسیاری از ابزارهای آزادانه در دسترس و قابل اعتماد وجود دارد که حتی به مهاجمان بی تجربه اجازه می دهد از این آسیب پذیری ها به طور خودکار سوء استفاده کنند.
انواع حملات اینجکشن ( Injection Attack )
حملات SQL اینجکشن (SQLi) و Cross-site Scripting یا XSS شایعترین حملات تزریقی هستند اما تنها آنها نیستند . در زیر لیستی از انواع حمله تزریقی رایج است.
| مشکلات | توضیحات | Injection attack |
|---|---|---|
| تخریب کل سیستم | حمله کنند کد برنامه نوشته شده به زبان برنامه را تزریق می کند. این کد ممکن است برای اجرای دستورات سیستم عامل با مشخصات کاربرانی که وب را اجرا می کنند ، استفاده شود. در موارد پیشرفته ، مهاجم ممکن است از آسیب پذیری های اضافی سوءاستفاده کند ، که ممکن است منجر به تخریب کامل سرور وب شود . | Code injection |
| Cross-site Scripting | مهاجم دنبال مشکل یا باگی است که CRLF یا ” بازگشت و دسترسی اطلاعات ” را غیرمنتظره تزریق کند . این حمله ممکن است با حمله XSS یا Cross-site Scripting همراه باشد . | CRLF injection |
| جعل هویت حساب جابجایی JavaScript خودسرانه را در مرورگر قربانی اجرا کنید | مهاجم یک اسکریپت دلخواه (معمولاً در جاوا اسکریپت) را به یک وب سایت یا برنامه وب تزریق می کند. این اسکریپت سپس در مرورگر قربانی اجرا می شود. | Cross-site Scripting یا (XSS) |
| پخش اسپم افشای اطلاعات | این حمله بسیار مشابه تزریق CRLF است. مهاجم دستورات IMAP / SMTP را به سرور ایمیل ارسال می کند که مستقیماً از طریق یک برنامه وب در دسترس نیست. | Email Header Injection |
| تنظیم مجدد رمز عبور مسمومیت مسمومیت در حافظه نهان | مهاجم از اعتماد ضمنی امنیت HTTP سایت میزبان برای مسمومیت از تنظیم مجدد گذرواژه و حافظه پنهان وب سوء استفاده می کند. | Host Header Injection |
| تغییر احراز هویت افشای اطلاعات | مهاجم برای اجرای دستورات دلخواه LDAP ، دستورات LDAP (پروتکل دسترسی به فهرست اطلاعات) را تزریق می کند. آنها می توانند مجوزهای لازم را کسب کرده و محتوای درخت LDAP را اصلاح کنند. | LDAP Injection |
| تخرین کامل سیستم | مهاجم دستورات سیستم عامل را با اطلاعات کاربرانی که برنامه وب را اجرا می کنند ، تزریق می کند. در موارد پیشرفته ، مهاجم ممکن است از آسیب پذیری های مهم اضافی سوء استفاده کند ، که ممکن است منجر به تخریب کامل سیستم شود. | OS Command Injection |
| تغییر احراز هویت افشای اطلاعات از دست رفتن داده ها سرقت داده های حساس از بین رفتن یکپارچگی داده ها تخریب کامل سیستم. | حمله کننده SQL را تزریق می کند که می تواند داده های پایگاه داده را بخواند یا تغییر دهد. در مورد حملات پیشرفته SQL Injection ، مهاجم می تواند از دستورات SQL برای نوشتن پرونده های دلخواه به سرور و حتی اجرای دستورات سیستم عامل استفاده کند. این ممکن است به تخریب کامل سیستم منجر شود. | SQL Injection (SQLi) |
| افشای اطلاعات تغییر احراز هویت | اتکر اطلاعات را به یک برنامه کاربردی تزریق می کند تا فایل XPath اجرا و نمایش داده شود . از آنها برای دسترسی به داده های غیرمجاز و دور زدن تأیید اعتبار استفاده کنند. | XPath injection |
تست اینکه وب سایت یا برنامه وب شما در برابر تمام حملات تزریق در بالا آسیب پذیر باشد ، آسان است. تمام کاری که شما باید انجام دهید این است که یک اسکن وب خودکار را با استفاده از اسکنر آسیب پذیری Acunetix اجرا کنید. از نسخه نمایشی استفاده کرده و اطلاعات بیشتری درباره اجرای اسکن در برابر وب سایت یا برنامه وب خود کسب کنید.
