ماهو الـ Information Leakage ؟

السلام عليكم ورحمة لله وبركاته

هي احد أنواع الأخطاء التي قد يقع فيها المبرمجين بسبب سرعة كتابة الاكواد . و هذا الثغرة تعني ان البرنامج يقوم بعرض الخطأ مع معلومات زائدة عن اللازم , أي أنه في حالة وجود خطأ برمجي ما (مثل الاستثناءات) في البرنامج سواء أكان البرنامج هو تطبيق ويب أم تطبيق مكتبي, يقوم المبرمج باسترجاع هذا الخطأ و إظهاره و ذلك لكي يقوم بحل هذا الخطأ …

Capture1

ففي الصورة السابقة يقوم هذا الكود البرمجي باتصال بسيط مع قواعد بيانات MySQL , لكن في السطر رقم ١٣ يقوم بالتحقق من فيما اذا لم تتم العملية بنجاح او اذا حصل أي خطأ أثناء عملية الإتصال .

فاذا ما احدث المهاجم خطأ ما في السكريبت فسيقوم السيرفر باعطاء جميع المعلومات عن الاتصال و اسم المستخدم و الخ كما هو مكتوب في السطر رقم 14 و ستظهر رسالة الخطأ على المتصفح بالشكل التالي :

Capture

فيتمكن المهاجم من استغلال هذه الأخطاء الذي يكتبها المبرمج .

مثل هذه الأخطاء توجد و تستغل ايضا في برامج سطح المكتب و سنقوم بإعطاء مثال و لمحة بسيطة عن الثغرة في لغة Java.

فهنا قمت بعمل TRY و لكني قمت بعرض او اظهار كل ال Exception اي اني اعرض الخطأ بالكامل و هذا ليس بالجيد اي من الممكن ان تتسرب منها بعض المعلومات الحساسة !

Capture2

المصادر : من موقع OWASP

عن مشاركات الزوار

تعليق واحد

  1. فعلا ثغرة التسريب مشكله

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

two × two =

This site uses Akismet to reduce spam. Learn how your comment data is processed.