تزریق کد یا Code injection که معمولاً به صورت اجرای ریموت کدها یا RCE به آن اشاره می‌شود، یکی از انواع اصلی حملات هکرهاست. هکر برای خرابکاری، دستوراتی را در یک اپلیکیشن یا سایت و نرم‌افزار، اجرا می‌کند و به این ترتیب می‌تواند به اطلاعات امنیتی دسترسی پیدا کند، بانک اطلاعاتی را معیوب یا ناقص کند و همین‌طور اطلاعات شخصی کاربران را برای سوء استفاده‌های بعدی، به دست آورد. در اغلب موارد هکر با تزریق کد مراحل لاگین و تأیید هویت را دور می‌زند.

در ادامه با تزریق کد یا Code Injection که از مقوله‌های مهم در عرصه‌ی هک و امنیت است، بیشتر آشنا می‌شویم.

معمولاً در مواردی که اپلیکیشن یا دستورات بدون عبور از مراحل تأیید اعتبار اجرا می‌شوند، تزریق کد به مراتب ساده‌تر است و احتمالاً خرابکاری هکرها بیشتر است. به عنوان مثال کدهای زیر که به زبان PHP نوشته شده، یک کد آسیب‌پذیر است:

در دستورات فوق، صفحه‌ی دریافت مشخصات PHP با دستور phpinfo، صفحه‌ای آسیب‌پذیر محسوب می‌شود.

با توجه به پیشرفت‌هایی که در عرصه‌ی اپلیکیشن صورت گرفته و کاربر تعامل بیشتر و بهتری با اپ‌های امروزی دارد، مسأله‌ی تزریق کد هم مهم‌تر شده و در حقیقت یکی از مباحث اصلی امنیت آنلاین، به تزریق کد مربوط می‌شود.

انواع تزریق کد

در حالت کلی ۴ نوع تزریق کد وجود دارد. تزریق کد SQL، تزریق کد Script، تزریق کد Shell و تزریق کد Dynamic Evaluation.  اساس کار در هر ۴ نوع تزریق کد، یکسان است و همواره دستوراتی برای خرابکاری، به اپلیکیشن معرفی شده و توسط اپلیکیشن اجرا می‌شوند. در این مقاله به دو مورد اول یعنی تزریق کد برای خرابکاری‌ها در زمینه‌ی بانک داده یا SQL و تزریق کد اسکریپت بحث می‌کنیم.

روش کار تزریق کد SQL

در تزریق کد SQL، هدف هکر این است که با دستکاری در کوئری‌های معتبر و قانونی، کاری کند که داده‌های جعلی ساخته شود و کوئری‌های موردنظر اجرا شود. هکر می‌بایست ابتدا یکی از عناصری که در صفحه‌ی وب یا اپلیکیشن تحت وب موجود است را پیدا کند و این عنصر در کوئری‌های SQL کاربرد داشته باشد. در این صورت می‌تواند با دستکاری این عنصر، کوئری‌های موردنظر خود را برای خرابکاری‌های مرتبط با بانک اطلاعاتی یا SQL Database ایجاد کند.

این روش در مواقعی کاربردی است که در طراحی اپلیکیشن تحت وب، ورودی‌هایی که کاربر انتخاب یا تایپ کرده، در کوئری‌های SQL قرار می‌گیرد. هکر می‌تواند عبارت‌های آلوده برای کار با SQL را استفاده کند و خرابکاری انجام دهد.

به عنوان مثال کدهای زیر که در سمت سرور یک سایت اجرا می‌شود، ناامن است و هکر می‌کند با استفاده از عبارت‌های خاصی، خرابکاری انجام دهد:

در کدهای فوق، هکر می‌تواند از دستور زیر برای تنظیم فیلد رمز عبور استفاده کند:

password’ OR 1=1

همان‌طور که مشاهده می‌کنید، هکر می‌تواند در فیلد رمز عبور، عبارتی را وارد کند که در حقیقت یک دستور قابل استفاده برای کار با SQL Database است. قرار دادن عبارت OR 1=1 که به معنی "یا ۱ مساوی ۱" است در انتهای رمز عبور، باعث می‌شود که تمام آی‌دی‌های کاربران صرف‌نظر از رمز عبوری که تایپ شده، انتخاب شود! 

به دستور زیر توجه کنید که یک عبارت منطقی ساده است و شناسه یا id مربوط به کاربران را بدون توجه به پسورد تایپ شده که صحیح است یا خیر، انتخاب می‌کند:

SELECT id FROM users WHERE username=’username’ AND password=’password’ OR 1=1

با SQL Injection چه حملاتی امکان‌پذیر است؟

دستکاری بانک داده، سرقت اطلاعات از بانک داده و یا حذف داده‌ها از بانک اطلاعاتی، اتفاقاتی است که با استفاده از روش تزریق کد SQL در اپ‌ها یا سایت‌ها رخ می‌دهد و این متداول‌ترین نوع تزریق کد است.

هکر با SQL Injection می‌تواند مراحل لاگین و تأیید هویت را دور بزند و به سادگی به اطلاعات مختلف که از دیتابیس استخراج شده، دسترسی داشته باشد. می‌تواند صحت و تمامیت داده‌های موجود در بانک اطلاعاتی را از بین ببرد و مواردی مثل امتیاز، اموال و متعلقات کاربران را تغییر دهد یا بی‌اعتبار و حذف کند.

چگونه از تزریق کد SQL جلوگیری کنیم؟

برای جلوگیری از تزریق کد‌های آلوده‌ی SQL و کاهش آسیب‌پذیری اپلیکیشن آنلاین یا سایت، باید فرض کنید که تمام داده‌هایی که کاربران ارسال می‌کنند، حاوی کدهای خرابکارانه هستند! حتی عبارتی مثل رمز عبور هم می‌تواند یک عبارت برای خرابکاری در SQL Database باشد و با این فرض، مراحل استفاده از این داده‌ها را کدنویسی کنید.

در ثانی به نکات مهم زیر توجه کنید:

  • غیرفعال کردن استفاده از SQL دینامیک: در سایت و اپلیکیشن پویا و دینامیک، نمی‌تواند از ورودی‌های کاربران به کلی استفاده نکرد اما در صورت لزوم استفاده، می‌توانید هر عبارتی که دریافت می‌شود را بررسی و تأیید اعتبار کنید و عبارت‌های خاصی که در آن استفاده شده را حذف کنید تا کوئری خرابکارانه‌ای اجرا نشود.
  • استفاده از فایروال: فایروال می‌تواند داده‌های آلوده را فیلتر کند. فایروال یک اپلیکیشن تحت وب ممکن است به صورت نرم‌افزاری یا در سطح اپلیکیشن پیاده‌سازی شود.
  • خریداری نرم‌افزارهای بهتر و امن‌تر: نرم‌افزار بهتر نرم‌افزاری است که برنامه‌نویسان آن با تجربه و حوصله‌ی بیشتری به جوانب مختلف فکر کرده‌اند و راه‌های آسیب‌پذیری و نفوذ را بسته‌اند.
  • رمزگذاری و هش کردن رمز عبورها: علاوه بر استفاده از رمزگذاری یا هش برای جلوگیری از فاش شدن رمز عبورها، می‌توانید تمام داده‌های مهم و حساس را به این روش استفاده کنید. حتی می‌توانید لینک کانکشن‌ها را نیز با همین روش استفاده کنید.
  • دسترسی به دیتابیس با دسترسی محدود: بهتر است به جز موارد ضروری، با دسترسی ادمین به بانک اطلاعاتی وصل نشوید.

تزریق کد اسکریپت

آسیب‌پذیری دیگری که با عنوان Script injection به آن اشاره می‌شود، روشی است که هکر کدهای آلوده را مستقیماً از طریق فرم‌های تحت وب یا داخل اپلیکیشن، ارسال می‌کند. ممکن است در طراحی رابط کاربری موانعی برای نفوذ از این طریق پیش‌بینی نشده باشد. به این نوع حملات هکری، Cross-Sire Scripting یا به اختصار XSS نیز گفته می‌شود.

تگ‌های <script> و <meta> و <html> و <body> و <embed> و <frame> و <frameset> و <img> بیش از سایر تگ‌ها برای این روش نفوذ استفاده می‌شوند.

چگونه از ترزیق کد Script جلوگیری کنیم؟

برای جلوگیری از حملاتی که به روش تزریق کد اسکریپت صورت می‌گیرد، معمولاً باید بسته به زبان برنامه‌نویسی از روش‌های کلی زیر استفاده کنید:

  • تأیید اعتبار و سنجش ورودی‌های کاربر در فرم‌های مختلف و حذف بخش‌هایی که به نظر آلوده و اسکریپت‌های خرابکارانه است.
  • پاکسازی کوئری‌های اضافی از لینک‌های صفحات وب
  • تأیید اعتبار کدها، آرایه‌ها و هر نوع داده‌ای که قرار است در سمت سرور سایت یا اپلیکیشن، اجرا شود.
در صورتی که اقدامات لازم برای حل کردن مشکلات کامپیوتر و لپ‌تاپ را انجام دادید اما هنوز مشکل پابرجاست و یا فرصت انجام آنها را ندارید؛ می‌توانید در آچارباز سفارش اعزام کارشناس به محل ثبت کنید تا آنها مشکل را برطرف کنند

ثبت درخواست اعزام کارشناس به محل