افزایش امنیت شبکه های اجتماعی

تک تیپ

تبلیغات

جدیدترین آموزش های تکنولوژی

منظور از حملات تزریق (Injection Attack) چیست ؟

type-of-injection-attack
ب

حملات تزریق به طبقه گسترده ای از بردارهای حمله اشاره دارد . در حمله تزریق ، یک حمله کننده ، ورودی غیرقابل اعتماد (باگ) به یک برنامه را پیدا می کند . این باگ توسط مترجم به عنوان بخشی از یک فرمان یا پرس و جو پردازش می شود . این به نوبه خود ، اجرای آن برنامه را تغییر می دهد با تک تیپ همراه باشید .

Injection Attack

تزریق از قدیمی ترین و خطرناک ترین حملات با هدف برنامه های وب است. آنها می توانند منجر به سرقت داده ها ، از بین رفتن داده ها ، از بین رفتن تمامیت داده ها ، مشکل سرویس و همچنین به خطر افتادن کامل سیستم شوند . دلیل اصلی آسیب پذیری های تزریق ، معمولاً امنیت کافی برای ورود کاربر نیست.

انواع حملات اینجکشن ( Injection Attack )

حملات SQL اینجکشن (SQLi) و Cross-site Scripting یا XSS شایعترین حملات تزریقی هستند اما تنها آنها نیستند

این نوع حمله یک مشکل اساسی در امنیت وب محسوب می شود. این به عنوان یک ریسک امنیتی شماره یک در وب با رتبه 10 در استاندارد OWASP ذکر شده است و به یک دلیل خوب . حملات تزریق ، به ویژه SQL Injections (حملات SQLi) و Cross-site Scripting یا (XSS) ، نه تنها بسیار خطرناک بلکه بسیار گسترده هستند ، به ویژه در برنامه های قدیمی .

آنچه آسیب پذیری های تزریق را به خصوص ترسناک می کند این است که سطح حمله بسیار گسترده باشد (به خصوص برای آسیب پذیری های XSS و SQL Injection) . علاوه بر این حملات تزریقی ، حملات آسیب پذیری کاملاً درک شده هستند . این بدان معناست که بسیاری از ابزارهای آزادانه در دسترس و قابل اعتماد وجود دارد که حتی به مهاجمان بی تجربه اجازه می دهد از این آسیب پذیری ها به طور خودکار سوء استفاده کنند.

بیشتر بدانید :

انواع حملات اینجکشن ( Injection Attack )

حملات SQL اینجکشن (SQLi) و Cross-site Scripting یا XSS شایعترین حملات تزریقی هستند اما تنها آنها نیستند . در زیر لیستی از انواع حمله تزریقی رایج است.

مشکلات توضیحات Injection attack
تخریب کل سیستمحمله کنند کد برنامه نوشته شده به زبان برنامه را تزریق می کند. این کد ممکن است برای اجرای دستورات سیستم عامل با مشخصات کاربرانی که وب را اجرا می کنند ، استفاده شود. در موارد پیشرفته ، مهاجم ممکن است از آسیب پذیری های اضافی سوءاستفاده کند ، که ممکن است منجر به تخریب کامل سرور وب شود . Code injection
Cross-site Scripting مهاجم دنبال مشکل یا باگی است که CRLF یا ” بازگشت و دسترسی اطلاعات ” را غیرمنتظره تزریق کند . این حمله ممکن است با حمله XSS یا Cross-site Scripting همراه باشد .CRLF injection
جعل هویت حساب
جابجایی
JavaScript خودسرانه را در مرورگر قربانی اجرا کنید
مهاجم یک اسکریپت دلخواه (معمولاً در جاوا اسکریپت) را به یک وب سایت یا برنامه وب تزریق می کند. این اسکریپت سپس در مرورگر قربانی اجرا می شود.Cross-site Scripting یا (XSS)
پخش اسپم
افشای اطلاعات
این حمله بسیار مشابه تزریق CRLF است. مهاجم دستورات IMAP / SMTP را به سرور ایمیل ارسال می کند که مستقیماً از طریق یک برنامه وب در دسترس نیست.Email Header Injection
تنظیم مجدد رمز عبور
مسمومیت
مسمومیت در حافظه نهان
مهاجم از اعتماد ضمنی امنیت HTTP سایت میزبان برای مسمومیت از تنظیم مجدد گذرواژه و حافظه پنهان وب سوء استفاده می کند.Host Header Injection
تغییر احراز هویت
افشای اطلاعات
مهاجم برای اجرای دستورات دلخواه LDAP ، دستورات LDAP (پروتکل دسترسی به فهرست اطلاعات) را تزریق می کند. آنها می توانند مجوزهای لازم را کسب کرده و محتوای درخت LDAP را اصلاح کنند. LDAP Injection
تخرین کامل سیستممهاجم دستورات سیستم عامل را با اطلاعات کاربرانی که برنامه وب را اجرا می کنند ، تزریق می کند. در موارد پیشرفته ، مهاجم ممکن است از آسیب پذیری های مهم اضافی سوء استفاده کند ، که ممکن است منجر به تخریب کامل سیستم شود.OS Command Injection
تغییر احراز هویت
افشای اطلاعات
از دست رفتن داده ها
سرقت داده های حساس
از بین رفتن یکپارچگی داده ها
تخریب کامل سیستم.
حمله کننده SQL را تزریق می کند که می تواند داده های پایگاه داده را بخواند یا تغییر دهد. در مورد حملات پیشرفته SQL Injection ، مهاجم می تواند از دستورات SQL برای نوشتن پرونده های دلخواه به سرور و حتی اجرای دستورات سیستم عامل استفاده کند. این ممکن است به تخریب کامل سیستم منجر شود.SQL Injection (SQLi)
افشای اطلاعات
تغییر احراز هویت
اتکر اطلاعات را به یک برنامه کاربردی تزریق می کند تا فایل XPath اجرا و نمایش داده شود . از آنها برای دسترسی به داده های غیرمجاز و دور زدن تأیید اعتبار استفاده کنند.XPath injection

تست اینکه وب سایت یا برنامه وب شما در برابر تمام حملات تزریق در بالا آسیب پذیر باشد ، آسان است. تمام کاری که شما باید انجام دهید این است که یک اسکن وب خودکار را با استفاده از اسکنر آسیب پذیری Acunetix اجرا کنید. از نسخه نمایشی استفاده کرده و اطلاعات بیشتری درباره اجرای اسکن در برابر وب سایت یا برنامه وب خود کسب کنید.

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *