વ્યૂસ્ટેટ કોડ ઇન્જેક્શન એટેકસ રિમોટ કોડ એક્ઝેક્યુશન તરફ દોરી શકે છે, માઇક્રોસ .ફ્ટ ચેતવણી દેવીઓ તેમની પોતાની મશીન કીઓ ઉત્પન્ન કરી રહ્યા નથી, તે હજારો જાહેરમાં ઉપલબ્ધ કીઓ છે સાયબર ક્રિમિનલ્સ ઉપયોગ કરી શકે છે
માઇક્રોસ .ફ્ટની થ્રેટ ઇન્ટેલિજન્સ ટીમના જણાવ્યા અનુસાર, સાયબર ક્રાઇમિનલ્સ એએસપી.નેટ વેબસાઇટ્સમાં દૂરસ્થ રીતે દૂષિત કોડને અમલમાં મૂકવા માટે નબળાઇનો દુરૂપયોગ કરી રહ્યા છે, જેણે in ંડાણપૂર્વક પ્રકાશિત કર્યું છે. વિશ્લેષણ નવી પદ્ધતિ પર.
લેખમાં, માઇક્રોસોફ્ટે સમજાવ્યું કે ધમકી અભિનેતાઓ વ્યૂસ્ટેટ કોડ ઇન્જેક્શન એટેક નામની પદ્ધતિ દ્વારા દૂષિત કોડ ઇન્જેક્શન આપી રહ્યા છે.
વ્યૂસ્ટેટ એએસપી.નેટ વેબસાઇટ્સમાં એક સુવિધા છે જે પૃષ્ઠને તાજું કરવામાં આવે ત્યારે વપરાશકર્તા ઇનપુટ અને પૃષ્ઠ સેટિંગ્સને યાદ કરવામાં મદદ કરે છે. તે આ માહિતીને વેબપેજના છુપાયેલા ભાગમાં સંગ્રહિત કરે છે જેથી જ્યારે વપરાશકર્તા ફરીથી પૃષ્ઠ સાથે સંપર્ક કરે, ત્યારે તે કંઈપણ ગુમાવ્યા વિના સેવ ડેટાને ફરીથી લોડ કરી શકે છે.
દૂષિત કોડ સ્વીકારી
જેમ જેમ તે બહાર આવ્યું છે, ઘણા વિકાસકર્તાઓ મશીન કીઓ (વેબસાઇટના વ્યૂસ્ટેટ ડેટાને સુરક્ષિત કરવા માટે રચાયેલ સુરક્ષા કોડ) નો ઉપયોગ કરી રહ્યાં છે, જે તેઓ પોતાનું પેદા કરવાને બદલે find નલાઇન શોધે છે. આ મશીન કીઝ વ્યૂસ્ટેટ સાથે ચેડા અટકાવવા માટે બનાવાયેલ છે, જે વેબ પૃષ્ઠો પરના ડેટાને ટ્ર cks ક કરે છે કારણ કે વપરાશકર્તાઓ તેમની સાથે સંપર્ક કરે છે.
જો કે, જો વિકાસકર્તાઓ આ કીઓ શોધી શકે, તો ગુનેગારો કરી શકે. જ્યારે તેઓ કરે છે, ત્યારે તેઓ વેબસાઇટના વ્યૂસ્ટેટમાં હાનિકારક સામગ્રીને ઇન્જેક્શન આપવા માટે તેનો ઉપયોગ કરી શકે છે. કારણ કે મશીન કી વેબસાઇટની અપેક્ષા જેવું જ છે, સર્વર દૂષિત કોડને ડિક્રિપ્ટ કરે છે અને પ્રક્રિયા કરે છે, જે હુમલાખોરોને સર્વર પર તેમના પોતાના આદેશો ચલાવવાની મંજૂરી આપે છે. આ રિમોટ કોડ એક્ઝેક્યુશન તરફ દોરી શકે છે, માઇક્રોસોફ્ટે ચેતવણી આપી.
સંશોધનકારોએ 3,000 થી વધુ જાહેરમાં જાહેર કરેલી કીઓ શોધી કા .ી કે જેનો ઉપયોગ આ હુમલાઓમાં થઈ શકે છે. કેટલાક કિસ્સાઓમાં, સંશોધનકારોએ ઉમેર્યું, વિકાસકર્તાઓ અજાણતાં આ જાહેર કીઓને તેમના કોડમાં પણ દબાણ કરી શકે છે.
આ હુમલાઓને રોકવા માટે, માઇક્રોસ .ફ્ટ વિકાસકર્તાઓને તેમની પોતાની મશીન કીઓ ઉત્પન્ન કરવા, ડિફ default લ્ટ અથવા સાર્વજનિક રૂપે ઉપલબ્ધ લોકોનો ઉપયોગ કરવાનું ટાળવા અને તેમની ગોઠવણી ફાઇલોના ભાગોને એન્ક્રિપ્ટ કરીને સંવેદનશીલ ડેટાને સુરક્ષિત કરવાની સલાહ આપે છે.
એએસપી.એન.ટી.ના નવા સંસ્કરણમાં અપગ્રેડ કરવાની પણ ભલામણ કરવામાં આવે છે, કારણ કે એન્ટિમલવેર સ્કેન ઇન્ટરફેસ (એએમએસઆઈ) જેવી સુરક્ષા સુવિધાઓનો ઉપયોગ કરી રહી છે.
માઇક્રોસોફ્ટે સર્વરની રૂપરેખાંકન ફાઇલોમાંથી અસુરક્ષિત મશીન કીઓને કેવી રીતે દૂર કરવી અથવા તેને બદલવી તે અંગેની સૂચનાઓ પણ આપી હતી અને અસુરક્ષિત પ્રથાને નિરાશ કરવા માટે આ કીઓના તેના જાહેર દસ્તાવેજોમાંથી આ કીઓના ઉદાહરણોને દૂર કર્યા છે.
