جشنواره تخفیف های جمعه سیاه
محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

آسیب پذیری Shrink Wrap Code چیست؟ به زبان بسیار ساده

Shrink Wrap Code Vulnerability چیست؟ اگر به عنوان طراحی وب کار کرده باشید حتما با ماژول های آماده ، اسکریپت ها آماده و Null شده و .. آشنایی دارید. کدهای آماده ای که بعضا دوستان بدون توجه به Source آنها در نرم افزارهای خودشان استفاده می کنند ، برخی از این کدها مثال هستند و باید بصورت دقیقی بررسی و سپس در محیط واقعی از آنها الگو برداری شود زیرا به خودی خود دارای نقاط ضعف امنیتی هستند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

حالا تصور کنید که یک کاربر جوملا یا وردپرس از ماژول های آماده قدیمی این CMS ها استفاده و آنها را نصب می کند و از این موضوع اطلاعی ندارد که این ماژول ها دارای مشکلات امنیتی هستند و باید بعد از نصب بلافاصله بروز رسانی شوند یا نسخه جدیدترآنها نصب شود. همین موضوع این امکان را فراهم می کند که مهاجمین از نقاط ضعف این اسکریپت های آماده استفاده و به نرم افزار شما حمله کنند. استفاده از این کدها امروزه اینقدر باب شده است که تقریبا اکثر افرادی که برنامه نویسی PHP یا حتی ASP.NET می کنند از نمونه کدهای اماده استفاده می کنند و به ندرت از صفر چیزی را کد نویسی می کنند.

ساده ترین جمله ای که می توانید در خصوص Shrink Wrap Code ها بگویید این است که چرا چرخ را از ابتدا اختراع کنیم ؟ این کاملا درست است ، شما نباید چرخ را از ابتدا اختراع کنید اما باید توجه کنید که چرخ ها هم به مرور زمان دچار مشکلات امنیتی می شوند و شما باید به مرور زمان از چرخ های جدیدتر استفاده کنید. اکثر برنامه نویس های وب برای ایجاد کردن یک ویرایشگر در وب سایت های خودشان از یک ماژول ویرایشگر به نام TinyMC استفاده می کنند .

اصلا در اینجا مشکلی نیست اما اگر در TinyMC یک باگ امنیتی وجود داشته باشد و شما از آن اطلاع نداشته باشید باعث می شود که نرم افزار شما هک شود ، این اسکریپت ها حتی بعضا بر روی سیستم عامل ها نیز استفاده می شوند و اصلا به کدهای آنها دقت نمی شود و باعث می شود که هکر بتواند از سیستم عامل شما Exploit بگیرد. برای مثال در اولین ارائه ویندوز 8.1 یک باگ امنیتی وجود داشت که مدیر سیستم باید بعد از نصب بلا فاصله Update امنیتی مربوطه را نصب می کرد تا مشکل برطرف شود اما بعضا بسیاری از افراد اینکار را نمی کردند. به هر حال هرگاه نرم افزار ، ماژول ، اسکریپت و نمونه کد جدیدی را خواستید استفاده کنید قبل از اجرای تمام و کمال آن آسیب پذیری های احتمالی آن را جستجو و پیکربندی های امنیتی لازم را انجام دهید.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، بنیانگذار انجمن تخصصی فناوری اطلاعات ایران و مجموعه توسینسو ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 80 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر و ناظر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات