بین الملل

مطالب پربازدید

1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

انتشار شده در تاریخ 1394/02/22 - 07:45

آسیب‌پذیری هش PHP

آسیب‌پذیری هش PHP که Magic Hash نام دارد، در شرایط خاص به هکرها اجازه می‌دهد تا از سامانه‌های احراز هویت عبور کنند.

بر اساس گزارش محققان امنیتی تمامی سایت‌ها نسبت به این حفره امنیتی آسیب‌پذیر هستند. مشکل هش زمانی ایجاد می‌شود که در کد PHP رشته‌ها توسط != یا == مقایسه می‌شوند. هنگامی‌که هر یک از این دو عملگر رشته را مقایسه می‌کنند، PHP هر هشی را که با 0e شروع شود به‌عنوان 0 ارزش‌گذاری می‌کند.

اگرچه این آسیب‌پذیری برای سامانه احراز هویت است اما حفره امنیتی فراموشی رمز عبور، کوکی‌ها، بررسی کد باینری و دیگر موارد را نیز شامل می‌شود.

تصور رشته‌ای مانند 0e… به‌عنوان 0، یعنی PHP رشته را به فرمت Integer تفسیر می‌کند. بدین ترتیب اگر دو رمز عبور هک شده باشند و هش هر دو با 0e آغاز شود، PHP هردوی آن‌ها را به ارزش 0 تفسیر می‌کند و با هر دو به‌عنوان عدد 0 رفتار می‌کند. بدین ترتیب هکر به‌راحتی با واردکردن رشته‌ای که برای PHP ارزش 0 دارد، می‌تواند به‌حساب کاربری که در پایگاه داده موجود است دسترسی پیدا کند.

به‌منظور رفع این آسیب‌پذیری کافی است تا وب‌سایت‌ها به‌جای استفاده از == یا != از عملگرهای === یا !=== استفاده کنند.

تازه ترین ها