Video: Ի՞նչ է կոդի կատարման խոցելիությունը:
2024 Հեղինակ: Lynn Donovan | [email protected]. Վերջին փոփոխված: 2023-12-15 23:48
կամայական կոդի կատարման խոցելիություն ծրագրային ապահովման կամ ապարատային անվտանգության թերություն է, որը թույլ է տալիս կամայական կոդի կատարումը . Կամայական հրահրելու ունակություն կոդի կատարումը ցանցի միջոցով (հատկապես լայնածավալ ցանցի միջոցով, ինչպիսին է ինտերնետը) հաճախ կոչվում է հեռավոր կոդի կատարումը (RCE):
Այսպիսով, ի՞նչ է կոդի խոցելիությունը:
Կոդի խոցելիություն տերմին է՝ կապված ձեր ծրագրաշարի անվտանգության հետ: Դա ձեր թերությունն է կոդը որը ստեղծում է անվտանգությունը խախտելու պոտենցիալ ռիսկ: Այն խոցելի կոդը կդարձնի օգտվողին, ինչպես նաև մշակողին խոցելի և երբ շահագործվի, պարզապես կվնասի բոլորին:
Նաև գիտեք, թե ինչ է RCE հարձակումը: Կոդի հեռավոր կատարում ( RCE ) հարձակում տեղի է ունենում, երբ սպառնալիքի դերակատարն անօրինական կերպով մուտք է գործում համակարգիչ կամ սերվեր և շահարկում է առանց դրա սեփականատիրոջ թույլտվության: Համակարգը կարող է տիրանալ չարամիտ ծրագրերի միջոցով:
Նմանապես, ի՞նչ են հեռակա կոդի կատարման հարձակումները:
Կոդի հեռավոր կատարում (RCE) վերաբերում է կիբերհարձակվողի կարողությանը մուտք գործելու և փոփոխություններ կատարելու համակարգիչ, որը պատկանում է մեկ ուրիշին, առանց լիազորությունների և անկախ նրանից, թե որտեղ է գտնվում համակարգիչը աշխարհագրորեն: RCE-ն թույլ է տալիս հարձակվողին տիրանալ համակարգչին կամ սերվերին՝ գործարկելով կամայական վնասակար ծրագրեր (չարամիտ ծրագրեր):
Ինչպե՞ս է աշխատում RCE-ն:
Ան–ում RCE հարձակման, հաքերները միտումնավոր շահագործում են հեռակա կոդի կատարման խոցելիությունը՝ չարամիտ ծրագրեր գործարկելու համար: Այս ծրագրավորումը կարող է այնուհետև նրանց հնարավորություն ընձեռեք ստանալ ամբողջական մուտք, գողանալ տվյալներ, իրականացնել ամբողջական բաշխված մերժման ծառայության (DDoS) հարձակում, ոչնչացնել ֆայլերը և ենթակառուցվածքները կամ ներգրավվել անօրինական գործունեության մեջ:
Խորհուրդ ենք տալիս:
Ինչպե՞ս կարող եմ ստանալ կատարման պլանը SQL Developer-ում:
SQL Developer-ում դուք կարող եք դիտել Explain Plan-ը (կամ Կատարման պլանը)՝ մտնելով Worksheet պատուհանը (որտեղ գրված է SQL հարցումը): Բացեք ձեր հարցումը այնտեղ կամ գրեք այն հարցումը, որը ցանկանում եք վերլուծել: Այժմ սեղմեք Բացատրեք պլանը կամ սեղմեք F10: Կատարման պլանը ցուցադրվում է SQL Developer-ում
Ինչպե՞ս գտնել կատարման պլանը SQL Server Management Studio-ում:
SQL Server Management Studio գործիքագոտում սեղմեք Database Engine Query: Կարող եք նաև բացել առկա հարցումը և ցուցադրել կատարման գնահատված պլանը՝ սեղմելով Open File գործիքագոտու կոճակը և գտնելով առկա հարցումը: Մուտքագրեք հարցումը, որի համար ցանկանում եք ցուցադրել իրական կատարման պլանը
Ո՞րն է տարբերությունը գնահատված կատարման պլանի և իրական կատարման պլանի միջև:
2 Պատասխաններ. Կատարման գնահատված պլանը ստեղծվում է բացառապես SQL Server-ի վիճակագրության հիման վրա՝ առանց հարցումն իրականում կատարելու: Իրական կատարման պլանը հենց դա է. իրական կատարման պլանը, որն օգտագործվել է հարցումն իրականում գործարկելիս
Ինչպե՞ս կարող եմ կարդալ SSMS-ի կատարման պլանը:
Մոտավոր կատարման պլաններ Կտտացրեք «Ցուցադրել գնահատված կատարման պլանը» պատկերակը գործիքագոտում (Հարցի վերլուծության ստուգման նշանի կողքին) Աջ սեղմեք հարցման պատուհանի վրա և ընտրեք «Ցուցադրել գնահատված կատարման պլանը» տարբերակը: Սեղմեք CTRL+L
Ո՞րն էր Apache Struts-ի խոցելիությունը:
Apache Struts-ում հայտնաբերվել է խոցելիություն, որը կարող է թույլ տալ հեռահար կոդի կատարում: Apache Struts-ը հակված է հեռավոր կոդի կատարման խոցելիությանը (CVE-2018-11776): Մասնավորապես, այս խնդիրն առաջանում է հատուկ մշակված արդյունքների հետ առանց անվանատարածքի կամ URL պիտակի առանց արժեքի և գործողությունների հավաքածուի: