OS Injection Saldırıları



OS Injection Saldırıları

Merhaba arkadaşlar bugün OS injection türlerini anlatacağım. Öncelikle web sayfasını meydana getiren betikler PHP , ASP gibi diller tarafından yorumlanır. Web arayüzü geliştirme de kullanılan dillerin örnek olarak php, asp vb. aynı zamanda işletim sistemine komut gönderebilme yetenekleri vardır

Yukarıda bahsettiğimiz diller sunucu tarafından çalışır, biz sunucuya göndermek istediğimiz komutları ancak veri giriş noktaları (textbox)'lar vasıtası ile gönderebiliriz. Textboxlardan girdiğimiz yazılar iligili dil yorumlayıcısı ( PHP , ASP , Javascript vs.) tarafından text olarak algılanır. Bu nedenle textboxlar aracılığı ile ilgili komutları direk girsek bile bu komutları text olarak algılanacaktır. Bu nedenle karşıdaki dil yorumlayıcısına yazdığımız karakterlerin olmadığı komut olduğunu bir şekilde bildirmeliyiz İşte bu işlem  Metakarakter dediğimiz semboller ile yapabiliriz.

Metakarakter ile artık text alanın bittiği belirttiğimiz ifadede ilgili komutu dil yorumluyucusuna göndererek ilgili komutu çalıştırabiliriz.

Fakat bu tip saldırıların, internet arayüzlerinin çoğunda çalışmadığı görürsünüz. Bunun nedeni ilgili dillere ait çoğu kütüphanede standart olarak metakarakterlerin girilmesini engelleyici kontroller bulunmasıdır. Bu yüzden yazılımcı kontrolleri gerçekleştirmesi bile açıklık oluşturmamaktadır.

Fakat şöyle bir şey var. Çok fonksiyonel ve denetimli komponentlere sahip kütüphaneler güçlü sunucular üzerinde çalışmak zorundadı.

Metakarakter Nedir? : Bir bilgisayar programı için özel bir anlam ifade eden karakterdir. Örneğin HTML'de metakarakterler "&" karakteriyle başlar.

OS injection bu şekildediydi arkadaşlar. Post taktiğimize benziyor birazcıkta olsa. diğer konumuzda xss anlatacağım.

İyi günler

Yorum Gönder

0 Yorumlar

Hack Forum