اشتراک گذاری در facebook
اشتراک گذاری در twitter
اشتراک گذاری در linkedin
اشتراک گذاری در whatsapp
اشتراک گذاری در email
اشتراک گذاری در telegram
ﻧﻜﺎت اﻣﻨﻴﺘﻲ در ﻃﺮاﺣﻲ ﺑﺨﺶ آﭘﻠﻮد ﻓﺎﻳﻞ

ﻧﻜﺎت اﻣﻨﻴﺘﻲ در ﻃﺮاﺣﻲ ﺑﺨﺶ آﭘﻠﻮد ﻓﺎﻳﻞ

ﻧﻜﺎت اﻣﻨﻴﺘﻲ در ﻃﺮاﺣﻲ ﺑﺨﺶ آﭘﻠﻮد ﻓﺎﻳﻞ:

ﻳﻜﻲ از اوﻟﻴﻦ ﺑﺨﺶ ﻫﺎﻳﻲ ﻛﻪ ﻫﺮ ﻫﻜﺮی ﺑﻪ ﻓﻜﺮ ﻧﻔﻮذ ﺑﻪ آن ﺟﺎ ﻣﻲ اﻓﺘﺪ، ﻣﺮﻛﺰ آﭘﻠﻮد ﻓﺎﻳﻞ اﺳﺖ. ﺑﻪ ﻃﻮر ﻣﺜﺎل، ﻣﺮﻛﺰی ﺑﺮای درﻳﺎﻓﺖ ﻋﻜﺲ ﭘﺮﺗﺮه ﻳﺎ آواﺗﺎر از ﻛﺎرﺑﺮ و ﻳﺎ ﻣﺮﻛﺰ آﭘﻠﻮد ﻋﻜﺲ در ﻳﻚ ﮔﺎﻟﺮی ﻋﻜﺲ و ﻳﺎ ﻣﺮﻛﺰ آﭘﻠﻮد وﻳﺪﺋﻮ و ﻋﻜﺲ در ﻳﻚ ﺳﺎﻳﺖ ﺷﺒﻜﻪ اﺟﺘﻤﺎﻋﻲ.
ﻏﻔﻠﺖ از ﻛﺪﻧﻮﻳﺴﻲ و ﭘﻴﺎده ﺳﺎزی اﻣﻦ ﻣﺮاﻛﺰ آﭘﻠﻮد ﻣﻲ ﺗﻮاﻧﺪ ﺻﺪﻣﺎت ﺟﺒﺮان ﻧﺎﭘﺬﻳﺮی ﺑﻪ ﺳﺎﻳﺖ ﺗﺤﻤﻴﻞ ﻛﻨﺪ

ﺷﺮﻛﺖ ScanItدر ﻣﻘﺎﻟﻪ ﺑﻴﺎن ﻛﺮده اﺳﺖ ﻛﻪ در ﺑﺮرﺳﻲ ﻫﺎی ﻣﺎ، ﺑﺴﻴﺎری از ﺳﺎﻳﺖ ﻫﺎ دارای ﺑﺎگ ﻫﺎی اﻣﻨﻴﺘﻲ ﺑﺴﻴﺎر ﺧﻄﺮﻧﺎﻛﻲ در ﻣﺮاﻛﺰ آﭘﻠﻮد ﺧﻮد ﺑﻮده اﻧﺪ!
در اﻳﻦ ﺑﺨﺶ در ﻣﻮرد ﺣﻤﻼﺗﻲ ﻛﻪ ﻣﻤﻜﻦ اﺳﺖ ﺑﻪ ﻣﺮﻛﺰ آﭘﻠﻮد ﺻﻮرت ﮔﻴﺮد و ﻫﻤﻴﻦ ﻃﻮر راه ﺣﻞ ﻫﺮ ﻳﻚ ﺻﺤﺒﺖ ﻣﻲ ﻛﻨﻴﻢ.

ﻳﻚ ﭘﻴﺎده ﺳﺎزی ﺳﺎده از آﭘﻠﻮدر ﻓﺎﻳﻞ:

ﻳﻚ آﭘﻠﻮدر ﻓﺎﻳﻞ ﺑﺪون در ﻧﻈﺮ ﮔﺮﻓﺘﻦ ﻧﻜﺎت اﻣﻨﻴﺘﻲ، در دو ﻣﺮﺣﻠﻪ ﺳﺎده ﻃﺮاﺣﻲ ﺧﻮاﻫﺪ ﺷﺪ:

۱- ﻓﺮم درﻳﺎﻓﺖ ﻛﻨﻨﺪه ﻓﺎﻳﻞ:

دﻗﺖ ﻛﻨﻴﺪ ﻛﻪ ﻤﺎً ﻻزم ﻧﻴﺴﺖ از ﻓﺮم ﺑﺎﻻ ﺑﺮای آﭘﻠﻮد ﻓﺎﻳﻞ اﺳﺘﻔﺎده ﻛﻨﺪ! ﺣﻤﻠﻪ ﻛﻨﻨﺪه ﺣﺘ او ﻣﻲ ﺗﻮاﻧﺪ ﻳﻚاﺳﻜﺮﻳﭙﺖ ﺑﻪ زﺑﺎن Perl ﺑﻨﻮﻳﺴﺪ ﺗﺎ اﻳﻦ ﻛﺎر را ا ﻫﺎی ارﺳﺎﻟﻲ ﺑﻪ داده ﺧﻮدش، اﺳﺘﻔﺎده ﻛﻨﺪ. 

ﺑﻪ ﻫﺮ ﺣﺎل، اﻳﻦ ﭘﻴﺎده ﺳﺎزی ﺳﺎده، ﺑﺎگ ﻫﺎی اﻣﻨﻴﺘﻲ ﺑﺴﻴﺎری دارد ﻛﻪ ﺑﻪ آن ﻫﺎ اﺷﺎره ﻣﻲ ﻛﻨﻴﻢ.حمله کننده میتواند هر نوع فایل دلخواهی رابه پوشه uploadsآپلود کند از جمله یک فایلphp Shellرا!

ﻓﺎﻳﻞ PHP Shellﻓﺎﻳﻠﻲ اﺳﺖ ﻛﻪ ﺑﻪ ﻫﻜﺮ اﺟﺎزه ﻣﻲ دﻫﺪ دﺳﺘﻮرات دﻟﺨﻮاه ﺧﻮد را ﺑﺮ روی ﺳﺮور ﻗﺮﺑﺎﻧﻲ اﺟﺮا نماید یک فایلShellﺳﺎده ﺑﻪ ﺻﻮرت زﻳﺮ ﺧﻮاﻫﺪ ﺑﻮد)ﺗﺼﻮر ﻛﻨﻴﺪ اﻳﻦ ﻛﺪﻫﺎ را در ﻓﺎﻳﻠﻲ ﺑﻪ ﻧﺎم shell.php ذﺧﻴﺮه ﻛﺮده اﻳﻢ:

اﮔﺮ اﻳﻦ ﻓﺎﻳﻞ روی ﻳﻚWeb Server آﭘﻠﻮد ﺷﻮد، ﻫﻜﺮ ﻣﻲﺗﻮاﻧﺪ ﻫﺮ ﻓﺮﻣﺎﻧﻲ ﻛﻪ ﻣﻲ ﺧﻮاﻫﺪ را ﺑﺎ اﺷﺎره ﺑﻪ آدرس زﻳﺮ اﺟﺮا ﻧﻤﺎﻳﺪ: 

http://server/shell.php?command= any_Unix_shell_command

 ShellﻫﺎیPHP ﭘﻴﺸﺮﻓﺘﻪ ﺗﺮی ﺑﺎ ﺟﺴﺘﺠﻮ در اﻳﻨﺘﺮﻧﺖ ﻗﺎﺑﻞ ﻣﺸﺎﻫﺪه ﻫﺴﺘﻨﺪ. 

یک اسکریپت به زبانPerlﻛﻪ ﺑﺎ اﺳﺘﻔﺎده از ﻓﺎﻳﻞ upload1.php ﻓﺎﻳﻞ shell.php را ﺑﻪ روی ﺳﺮور آﭘﻠﻮد ﻣﻲ ﻛﻨﺪ: 

ﺑﻌﺪ از اﻳﻨﻜﻪ ﻓﺎﻳﻞshell.phpﺑﺎ ﻣﻮﻓﻘﻴﺖ آﭘﻠﻮد ﺷﺪ،می توانیم فرمان های shell را ﺑﻪ ﺻﻮرت زﻳﺮ اﺟﺮاﻧﻤﺎﻳﻴﻢ:

cURL ﻳﻚ اﺑﺰار ﻣﻔﻴﺪ ﺑﺮای ﺗﺴﺖ ﺑﺮﻧﺎﻣﻪ ها ی ﺗﺤﺖ وب اﺳﺖ ﻛﻪ ﻫﻢ ﺑﺮای وﻳﻨﺪوز و ﻫﻢ ﺑﺮای ﻟﻴﻨﻮﻛﺲ در دﺳﺘﺮس ﻣﻲ ﺑﺎﺷﺪ.

اشتراک گذاری در facebook
اشتراک گذاری در twitter
اشتراک گذاری در linkedin
اشتراک گذاری در whatsapp
اشتراک گذاری در email
اشتراک گذاری در telegram

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

وب نگاران پارسه

پشتیبانی آنلاین!