Salar
Active Member
خودتان را براي بمب هاي زماني كه برنامه كاربردي تحت وب را در زمان خاصي مورد هجوم قرار مي دهد آماده كنيد....
به گزارش از سايت امنيت وب، در آخرين مقاله اي كه توسط گروه امنيتي نرم افزار UK ( NGS ) به نام Second-order Code Injection Attacks نوشته شده است مختصري درباره حمله جديدي كه برنامه هاي كاربردي تحت وب را مورد هجوم قرار مي دهد توضيح داده شده است.
در اين مقاله به دورنمايي از حمله جديدي مواجهه مي شويم كه سياست هاي امنيتي برنامه كاربردي را تغيير مي دهد.
Gunter Ollmann رييس بخش سرويس هاي حرفه اي NGS، نويسنده مقاله فوق، شرح مي دهد: "بسياري از حملات تحت وب كه بر پايه تزريق كد مي باشند ( مانند SQL Injection و XSS ) نياز به يك دسترسي آني دارند تا بتوانند كدهاي خود را به سيستم تزريق كرده و اجرا كنند. اما در اين حمله جديد هكر مي تواند كد هايي را به پايگاه داده تزريق كرده و اين كد ها در آينده اجرا شوند. اين حمله كه به نام second-order code injection attack مي باشد در اصل كدهايي را به برنامه كاربردي تزريق مي كند كه اين كدها در مراحل بعدي كه پايگاه داده بايد دريافت، تحليل و اجرا شوند، قرباني را مورد هجوم قرار مي دهند."
سيستم هدف مي تواند يك برنامه كاربردي داخلي باشد يعني حتما نبايد يك برنامه كاربردي تحت وب باشد و همين امر، يك ريسك امنيتي در برنامه هاي كاربردي ايجاد كرده است.
او اضافه كرد: كدهاي ناجور مي تواند بدون هيچ فعاليتي به برنامه كاربردي تزريق شود و در آينده فعال گردند.
به گزارش از سايت امنيت وب، در آخرين مقاله اي كه توسط گروه امنيتي نرم افزار UK ( NGS ) به نام Second-order Code Injection Attacks نوشته شده است مختصري درباره حمله جديدي كه برنامه هاي كاربردي تحت وب را مورد هجوم قرار مي دهد توضيح داده شده است.
در اين مقاله به دورنمايي از حمله جديدي مواجهه مي شويم كه سياست هاي امنيتي برنامه كاربردي را تغيير مي دهد.
Gunter Ollmann رييس بخش سرويس هاي حرفه اي NGS، نويسنده مقاله فوق، شرح مي دهد: "بسياري از حملات تحت وب كه بر پايه تزريق كد مي باشند ( مانند SQL Injection و XSS ) نياز به يك دسترسي آني دارند تا بتوانند كدهاي خود را به سيستم تزريق كرده و اجرا كنند. اما در اين حمله جديد هكر مي تواند كد هايي را به پايگاه داده تزريق كرده و اين كد ها در آينده اجرا شوند. اين حمله كه به نام second-order code injection attack مي باشد در اصل كدهايي را به برنامه كاربردي تزريق مي كند كه اين كدها در مراحل بعدي كه پايگاه داده بايد دريافت، تحليل و اجرا شوند، قرباني را مورد هجوم قرار مي دهند."
سيستم هدف مي تواند يك برنامه كاربردي داخلي باشد يعني حتما نبايد يك برنامه كاربردي تحت وب باشد و همين امر، يك ريسك امنيتي در برنامه هاي كاربردي ايجاد كرده است.
او اضافه كرد: كدهاي ناجور مي تواند بدون هيچ فعاليتي به برنامه كاربردي تزريق شود و در آينده فعال گردند.
