مقالات

ماهو الـ Information Leakage ؟

السلام عليكم ورحمة لله وبركاته

هي احد أنواع الأخطاء التي قد يقع فيها المبرمجين بسبب سرعة كتابة الاكواد . و هذا الثغرة تعني ان البرنامج يقوم بعرض الخطأ مع معلومات زائدة عن اللازم , أي أنه في حالة وجود خطأ برمجي ما (مثل الاستثناءات) في البرنامج سواء أكان البرنامج هو تطبيق ويب أم تطبيق مكتبي, يقوم المبرمج باسترجاع هذا الخطأ و إظهاره و ذلك لكي يقوم بحل هذا الخطأ …

Capture1

ففي الصورة السابقة يقوم هذا الكود البرمجي باتصال بسيط مع قواعد بيانات MySQL , لكن في السطر رقم ١٣ يقوم بالتحقق من فيما اذا لم تتم العملية بنجاح او اذا حصل أي خطأ أثناء عملية الإتصال .

فاذا ما احدث المهاجم خطأ ما في السكريبت فسيقوم السيرفر باعطاء جميع المعلومات عن الاتصال و اسم المستخدم و الخ كما هو مكتوب في السطر رقم 14 و ستظهر رسالة الخطأ على المتصفح بالشكل التالي :

Capture

فيتمكن المهاجم من استغلال هذه الأخطاء الذي يكتبها المبرمج .

مثل هذه الأخطاء توجد و تستغل ايضا في برامج سطح المكتب و سنقوم بإعطاء مثال و لمحة بسيطة عن الثغرة في لغة Java.

فهنا قمت بعمل TRY و لكني قمت بعرض او اظهار كل ال Exception اي اني اعرض الخطأ بالكامل و هذا ليس بالجيد اي من الممكن ان تتسرب منها بعض المعلومات الحساسة !

Capture2

المصادر : من موقع OWASP

مقالات ذات صلة

تعليق واحد

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

2 × four =

إغلاق