ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
- صفحاتي كه مجوز دسترسي را طلب مي كنند اما از رده خارج يا ناكافي هستند. يعني بازهم مي توانبا تغيير بعضي چيزها مثل كوكي ها به آنها دسترسي پيدا كرد يا اينكه مجوزها قديمي بوده و نياز بهبازنگري دارد.- برنامه هايي كه فقط در صفحاتي كه به سمت كاربر مي فرستند مجوز ها را طلب مي كنند و اگرURL-مقصد كه داده ها به طرف آن ارسال مي شوند پيدا شود و داده هاي درست به سمت آن ارسالشوند، عمليات نفوذ صورت مي گيرد.فايل هايي كه در صفحاتي كه مجوز ها را بررسي مي كنند گنجانده مي شوند، اما اگر خود به تنهايياجرا شوند عملياتي را انجام مي دهند. در زير يك مثال از همين مورد را كه در صفحات <strong>ASP</strong>بسيار فراگير است بيان مي كنيم.فرض كنيد كدهاي زير متعلق به يك صفحه كنترل اخبار سايت به زبان <strong>ASP</strong> است:و JSPهمانطور كه مشاهده مي شود، مجوز مديريت لازم است تا صفحه Add_New_News.aspاجراحال اگر شود. Add_New_News.aspيكبار ديگر مجوز دسترسي مديريت را داخل خود بررسينكند، مهاجم مي تواند در صورت پيدا كردن نام اين فايل، به اين فايل بدون داشتن مجوز، مستقيمادسترسي پيدا كند و به هدف خود دست يابد.4.2. خلاصه فصل:مشكل اساسي برنامه هاي كاربردي تحت وب اين است كه كاربران هر داده دلخواهي را مي توانند بهطرف آنها بفرستند.تاكنون آسيب پذيري هاي زيادي در برنامه هاي كاربردي تحت وب شناخته شده57