Kömək
Bu səhifəni kitabınıza əlavə edin
Kitabı göstər (0 səhifə)
Səhifə təklif edinEksployt (ing. Exploit - "istismar etmək") — proqram təminatında olan zəif yerlərdən istifadə edən və əməliyyat sisteminə hücumu həyata keçirmək üçün tətbiq olunan kompüter proqramı, proqram kodunun fraqmenti və ya komandalar ardıcıllığı. Hücumun məqsədi həm sistem üzərində nəzarəti ələ almaq (səlahiyyətləri artırmaq), həm də onun fəaliyyətini pozmaq ola bilər (DoS hücumlar).[1]
Zəif yerləri olan proqram təminatına giriş imkanı almaq metodundan asılı olaraq eksploytlər iki yerə bölünür: uzaq (REMOTE) və lokal (LOCAL).
- Uzaq eksployt şəbəkədə işləyir və zəif yeri olan sistemə qabaqcadan girmədən mühafizədə olan zəiflikdən istifadə edir.
- Lokal eksployt isə qabaqcadan giriş (adətən, ən yüksək hüquq) almaqla bilavasitə zəif yeri olan sistemdə başladılır.
Eksployt hücumu əməliyyat sisteminin müxtəlif komponentlərinə yönələ bilər: server proqramlarına, müştəri proqramlarına və ya əməliyyat siteminin modullarına. Serverdə olan zəif yerlərdən istifadə etmək üçün eksploytun ziyanverici kodun olduğu sorğu formalaşdıraraq serverə göndərməsi kifayətdir. Müştəri kompüterindəki zəif yerlərdən istifadə etmək bir qədər çətindir: bunun üçün istifadəçini saxta serverə qoşulmanın zəruriliyinə inandırmaq lazımdır.
Eksployt ilkin mətnlər, icra modulları, yaxud zəif yerlərdən istifadənin sözlə təsviri şəklində yayıla bilər. O, istənilən kompilyasiya və ya interpretasiya olunan proqramlaşdırma dilində (çox zaman C/C++, Perl, PHP, HTML+JavaScript) yazıla bilər. Zəif yerlərin aşkarlanması haqqında informasiya həm eksploytun yazılması üçün, həm də zəifliklərin aradan qaldırılması üçün istifadə oluna bilər.
Eksploytlər adətən istifadə etdikləri zəifliyin növünə, yerli/uzaqdan olması və eksploytin icrasının nəticəsi (məsələn, EoP, DoS, saxtakarlıq) kimi təsnif edilir və adlandırılır[2][3] (siyahı üçün zəifliklərə baxın). Sıfır gün eksploytləri təklif edən sxemlərdən biri xidmət kimi eksploytdir.
Sıfır klik hücumu, işləmək üçün heç bir istifadəçi qarşılıqlı əlaqəsi tələb olunmayan istismardır, yəni heç bir düyməyə və ya maus klikinə basılmır. 2021-ci ildə kəşf edilən FORCEDENTRY, sıfır klik hücumunun nümunəsidir.[4][5]
2022-ci ildə NSO Group-un fərdlərin telefonlarını sındırmaq üçün hökumətlərə sıfır klik istismarları satdığı bildirilir.[6]
- İsmayıl Calallı (Sadıqov), “İnformatika terminlərinin izahlı lüğəti”, 2017, “Bakı” nəşriyyatı
- ↑ "eksploit — Tərif". www.trendmicro.com. 19 sentyabr 2015 tarixində arxivləşdirilib. İstifadə tarixi: 4 sentyabr 2021.
- ↑ "Hücum Təhlükəsizliyi ilə verilənlər bazasından istifadə edir". www.exploit-db.com. 29 iyul 2016 tarixində arxivləşdirilib. İstifadə tarixi: 30 aprel 2023.
- ↑ "Məlumat bazası | Rapid7". www.rapid7.com. 16 aprel 2019 tarixində arxivləşdirilib. İstifadə tarixi: 30 aprel 2023.
- ↑ "Gizli iPhone, Apple-ın Hələ də Dayana bilmədiyi Hacklər". Wired (ingilis). ISSN 1059-1028. 1 fevral 2022 tarixində arxivləşdirilib. İstifadə tarixi: 14 sentyabr 2021.
- ↑ "Citizen Lab deyir ki, yeni NSO sıfır klik hücumu Apple-ın iPhone təhlükəsizlik mühafizəsindən yayınır". TechCrunch (ingilis). 24 avqust 2021. 24 avqust 2021 tarixində arxivləşdirilib. İstifadə tarixi: 14 sentyabr 2021.
- ↑ Ryan Gallagher. "Telefonların əməliyyat sistemlərindəki təhlükəsizlik qüsurlarından istifadə edən 'Sıfır Klik' Hacklərindən çəkinin". Insurance Journal. 18 fevral 2022. 2 may 2023 tarixində arxivləşdirilib. İstifadə tarixi: 30 aprel 2023.
- Wikimedia Commons-da kompüter təhlükəsizliyi istismarları ilə bağlı media