XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > Diqqət!!! PHP-də boşluq aşkar olundu.

18 May 2015

PHP-də yaranmış boşluq praktiki olaraq milyonlarla saytları təhlükə qarşısında qoyur. WhiteHat Security –nin mütəxəssisi Robert Xansen Magic Hash adını almış boşluq aşkar etmişdir. PHP-nin xeşlərlə işləyən zaman yaranmış xətasının köməkliyi ilə xaker istifadəçi şifrəsini əldə edə bilər və bu kimi təhlükəsizliyin təmin olunması vasitələrini adlaya bilər. Mövcud problem iki xeşin müqayisəsi zamanı bərabər-bərabər (= =) operatorundan istifadə edərkən baş verir. PHP base16 şifrələmə üsulunundan istifadə edir və biz nəticədə aşağıdakına bənzər sətir alırıq :

“0e812389…”

Ekspertlərin rəyinə görə bu boşluq milyonlarla saytı təhlükə ilə üz-üzə qoya və ciddi problemə çevrilə bilər. Əgər verilənlər bazasında istifadəçi şifrəsinin xeşi 0e ilə başlayırsa xaker istənilən sətirdən istifadə edərək şifrəni bilmədən sistemə uğurlu giriş edə bilər. Mütəxəssislər bu problemin müəyyən vaxtlıq həlli olaraq 3 bərabərlikdən (===) istifadə etməyi tövsiyyə edirlər.