روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ تزریق کد- که اغلب به آن اجرای کد ریموت (RCE) می‌گویند- نوعی حمله از سوی مهاجمینی است که قادرند یک کد آلوده‌ را به اپلیکیشنی تزریق و اعمال کنند: یک حمله‌ی تزریقی. این کدِ بیگانه قادر است به امنیت اطلاعات رخنه کرده و پایگاه اطلاعاتی یا مالکیت‌های خصوصی را دچار نقص نماید. این نوع حملات در بسیاری از موارد می‌توانند بخش احراز هویت را دور زده و معمولاً با آن دسته از اپلیکیشن‌هایی سر و کار دارند که برای اجرا به داده‌ی کاربری نیاز دارند.

به طور کلی، اگر این کد بدون عبور از مرحله‌ی اولیه‌ی تأییدِ اعتبار اجرا شود، اپلیکیشن‌ها آسیب‌پذیرتر نیز خواهند شد. نمونه‌ی ساده از یک کد آسیب‌پذیر را در زیر نشان داده ایم.

در نمونه‌ی فوق می‌بینیم که پیج اطلاعاتی PHP آسیب پذیر است و چنانچه کد ()URLhttp://example.com/?code=phpinfo اجرا گردد، نمایش داده خواهد شد.

این حقیقت را نمی‌توان انکار کرد که در جهان آنلاینِ امروزی، تعامل کاربر با اپلیکیشن‌ها بیش از هر زمان دیگری اهمیت دارد و از این رو، تزریق کد نیز بیش از قبل رشد کرده و تهدیدی جدی برای بسیاری از منابع آنلاین محسوب می‌شود.

انواع تزریق کد

عمدتاً چهار نوع تزریق کد وجود دارد: تزریق SQL، تزریق اسکریپت، تزریقِ شِل و تزریق دینامیک. هر چهار نوع مذکور قوانین اجرای یکسانی دارند: کد به اپلیکیشن‌ها معرفیشده و در آن‌ها اجرا می‌گردد؛ اما در این مقاله تمرکز خود را روی تزریق‌های SQL و اسکریپت گذاشته‌ایم. با ما همراه باشید.

نحوه‌ی عملکرد تزریق‌های SQL

اگر تزریق از نوع SQL باشد، هدف حمله فاسد کردن پایگاه اطلاعاتی قانونی است؛ بطوریکه در فضای اطلاعاتی سر و گوش آب می‌دهد و داده‌های غلط را در آن تزریق می‌کند. مهاجم ابتدا باید ورودی را در برنامه‌ی کاربردی وبِ مورد نظر (داخلِ پرس و‌جوی SQL) قرار دهد. این روش تنها زمانی مؤثر است که SQL برنامه‌ی کاربردی، ورودی کاربر را در خود داشته باشد. آنوقت است که پی‌لود (دستورِSQL  آلوده) اجازه‌ی ورود پیدا کرده و مأموریت خود را علیه سرور پایگاه داده شروع می‌کند.

شبهِ‌کُدِ زیر، برنامه‌نویسیِ سمتِ سرور (side-server) است که می‌تواند نمونه‌ی خوبی از یک تأییدیه‌ی آسیب‌پذیر در مقابل تزریق‌های SQL  باشد.

مهاجم در کد بالا پی‌لودی را که دستور SQL (از سوی سرور پایگاه اطلاعات) را عوض می‌کند وارد می‌نماید. به عنوان مثال فیلدِ رمزعبور اینگونه خواهد بود:

password’ OR 1=1

این کار به طور اتوماتیک باعث می‌شود دستور زیر بر خلاف قواعد سرور پایگاه اطلاعاتی پیش رود:

SELECT id FROM users WHERE username=’username’ AND password=’password’ OR 1=1

 تزریق SQL چه کارهایی می‌تواند انجام دهد؟

تزریق SQL از معمول ترین انواع تزریق است. با توجه به این موضوع که SQL زبانِ دست‌کاریِ اطلاعات ذخیره‌شده در RDBMS (سیستم‌های مدیریتی وابسته‌ی پایگاه اطلاعاتی) است، با استفاده از حمله‌ای که قادر باشد دستورهای SQL را بدهد و آن‌ها را اجرا نیز بکند، براحتی می‌توان به داده‌ها دسترسی پیدا کرده، آن‌ها را دست‌کاری نموده و یا حتی از بین برد.

با این تزریق، مهاجم قادر است مرحله‌ی احراز هویت را دور زده، به تمامی اطلاعات ذخیره‌شده در پایگاه اطلاعاتی دسترسی پیدا کرده و کل داده‌ها را دستکاری نماید. این تزریق همچنین می‌تواند باعث تغییر یا لغو تراکنش‌ها نیز بشود. 

چگونه جلوی تزریق‌های SQL را بگیریم؟

چند روش برای کاهش میزان آسیب‌پذیری اپلیکیشن‌هایتان وجود دارد؛ اما پیش از شروع هر یک از این مراحل توصیه می‌شود حتی‌الامکان همه‌ی داده‌های کاربر-محور را آلوده تصور کرده و به هیچکس اعتماد نکنید و بعد راهکارهای زیر نیز در این راستا به شما کمک خواهند کرد:

• از SQL دینامیک استفاده نکنید. این بدان معنا می‌باشد که پرس‌جو‌های پایگاه اطلاعاتی خود را بر پایه‌ی

ورودی کاربر نسازید. در صورت لزوم، پیش از ساخت پرس و‌جو با اطلاعات ورودی کاربر، مقدارها را پاکسازی و اعتبارسنجی کرده و از آن‌ها رد شوید.

• از فایروال استفاده کنید. فایروال برنامه‌ی کاربردی وب (که یا نرم افزار یا اپ‌محور باشد) شما را در فیلتر داده‌های آلوده کمک خواهد کرد.
• نرم‌افزار بهتری خریداری کنید. کدگذارهای نرم‌افزارهای با کیفیت‌تر، موظف‌ به بررسی و رفع نواقص‌‌اند.
• رمزعبور و هر اطلاعات محرمانه‌ی دیگر خود را پنهان و یا تک‌تک اجزای آن را درهم‌آمیزید تا قابل حفظ و شناسایی نباشند (این می‌تواند شامل رشته‌های اتصال نیز بشود).
• از اتصال پایگاه اطلاعاتی‌تان به اکانت‌های شخصی ادمین خودداری نمایید، مگر در مواقع لزوم.

تزریق اسکریپت

این آسیب‌پذیری امنیتی، تهدیدی است که به مهاجم اجازه می‌دهد تا از طریق مؤلفه‌های رابط کاربری، کد آلوده را مستقیماً به وبسایت‌های داده‌محور تزریق کند. اغلب به این حمله Cross-Site Scripting یا XSS می گویند. تگ‌های <script>، <meta>، <html>، <body>، <embed>، <frame>، <frameset>، <img>  بیش از بقیه مورد هدف تزریق‌های اسکریپت قرار می‌گیرند.

چگونه از تزریق‌های اسکریپت جلوگیری کنیم؟

روش‌های جلوگیری از تزریق‌های اسکریپت به کد برنامه‌نویسی‌ای که استفاده می‌کنید بستگی دارند. به طور کلی این اقدامات شامل موارد زیر می‌شود:

• ورودی کاربر را با حذف محتوای مستعد آلودگی، تأیید و پاکسازی کرده و یا از آن رد شوید.
• هر رشته‌ی پرس و‌جو در URLها را پاک کنید.
• پیش از اجرا در سرور، هر نوع داده یا چینشی را تأیید و پاکسازی کنید.

نتیجه‌گیری

ساده بگوییم، پیشگیری بهتر از درمان است. با آپدیت‌های جدیدی که در حوزه‌ی فناوری پدیدار شده‌اند باید منتظر تهدیدهای بیشتری برای سیستم‌هایمان باشیم. با این حال به منظور کنترل شرایط، باید جدیدترین پچ‌ها و به‌روزرسانی‌ها را داشته و همچنین برای دریافت راهکارهای امنیتی جدید، دائماً گوش به زنگ باشیم؛ بدین‌ترتیب مهاجمین سخت‌تر خواهند توانست با حملات مخرب‌شان از ما یک قربانی بسازند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.