حملات تزریق کد و انواع آن چیست؟

حملات injection یا تزریق کد و یا به عبارتی Cross Site Scripting مانند تزریق SQL، OS و LDAP زمانی اتفاق می افتد که داده های بی اعتبار به عنوان دستور یا Query به یک مفسر فرستاده می شود. داده مخرب مهاجم می تواند مفسر را به اجرای دستورات ناخواسته مجبور کند و یا اینکه به مهاجمین اجازه دهد که به داده هایی بدون انجام احراز هویت دسترسی یابند.

تاریخچه حفره های امنیتی در معرض حملات XSS یا همان Cross Site Scripting به سال ۱۹۹۶ و سال های اولیه تولد صفحات وب باز می گردد. نفوذگران در آن زمان که پروتکل HTTP جا افتاده بود و طراحان تارنما ها از زبانهای Scripting مانند جاوا اسکریپت (Java Script) بهره می بردند، دریافتند وقتی کاربران معمولی وارد سایتی می شوند، می توان به کمک کدنویسی در حفره های امنیتی تارنما، صفحه دیگری را در همان صفحه بارگذاری کرد سپس با بهره جستن از جاوا اسکریپت داده های کاربر مانند نام کاربری، گذرواژه و یا کوکی (Cookie) ها را دزدید.

در این هنگام رسانه ها این مشکلات را به ضعف امنیتی مرورگرها نسبت داده بودند. شرکت ارتباطی Netscape که جزء اولین تولیدکنندگان مرورگرهای وب و همچنین سازنده زبان جاوا اسکریپت بود سیاست دامنه شخصی را به این زبان افزود که جلوی دسترسی به آدرس های خارج از دامنه تارنما را می گرفت و تا حدودی این حملات را محدود می کرد.

• عامل تهدید: عامل تهدید و حمله می تواند با توجه به برنامه متفاوت باشد. به عبارتی می توان گفت که هر برنامه خاص یک عامل مخصوص به خود را دارد. این طور فرض کنید که هرکس می تواند اطلاعات نامعتبر را به سیستم (شامل کاربران بیرونی، کاربران درونی و مدیران) بفرستد.
• نحوه حمله: روش حمله و تخریب مهاجمین آسان است. مهاجمین اطلاعات متنی ساده ای را می فرستند که Syntax مفسر را به هم می ریزد. تقریباً می توان گفت که هر ورودی اطلاعات (حتی ورودی های داخلی) می تواند یک مسیر برای حمله باشد.
• ضعف امنیتی: حملات تزریقی وقتی اتفاق می افتد که یک برنامه اطلاعات غیر قابل اعتماد را به یک مفسر می فرستد. این نوع حمله ها بسیار شایع هستند، به خصوص در کدهایی که از یکدیگر ارث می برند. معمولا این نوع حمله ها در SQL، LDAP، XPath، کوئری های NoSQL، دستورات سیستم عاملی، تجزیه کننده های (Parser) XML، هدرهای SMTP، آرگومان های برنامه و … دیده می شود. پیدا کردن نقاط ضعف برنامه در برابر حمله تزریقی را در هنگام تست کد به راحتی می توان پیدا کرد اما زمان آزمایش برنامه این کار مشکل می شود. اسکنرها و fuzzer ها به مهاجمین کمک می کنند تا نقاط ضعف برنامه در مقابل injection را پیدا کنند.
• آسیب فنی: تزریق کد می تواند به از دست رفتن یا تخریب اطلاعات، مشکل در پاسخگویی و یا عدم دسترسی منجر شود. گاهی اوقات با استفاده از تزریق کد می توان کنترل کامل هاست را به دست گرفت.
• آسیب تجاری: ارزش تجاری اطلاعاتی که تحت تاثیر قرا گرفته است و پلتفرم اجرا کننده مفسر را در نظر بگیرید. همه اطلاعات می توانست دزدیده، دستکاری و یا حذف شود.

انواع حملات

سناریو های مختلفی برای قرار دادن کد مخرب در سایتها به عنوان حمله وجود دارد:

• طراح سایت، خود کد مخرب را در صفحه قرار داده باشد.
• حفره سایت ممکن است در سطح سیستم عامل یا شبکه ایجاد شده باشد.
• یک حفره دائمی در یکی از مکان های عمومی تارنما قرار گرفته باشد.
• قربانی بر روی یک لینک حاوی XSS مدل non-persistent یا DOM-based کلیک کند.

در ادامه مقالات به بحث مقابله با اینگونه حملات خواهیم پرداخت. با دانشنامه های ایزی هاست همراه باشید…