ማሪያና ትሬንች ፣ የፌስቡክ ክፍት ምንጭ የማይንቀሳቀስ ኮድ ተንታኝ

ፌስቡክ ይፋ ሆነ ከጥቂት ቀናት በፊት ተለቋል ክፍት ምንጭ የማይንቀሳቀስ ተንታኝ ፣ ማሪያና ትሬን ፣ በ Android መተግበሪያዎች እና በጃቫ ፕሮግራሞች ውስጥ ተጋላጭነቶችን ለመለየት የታሰበ።

ያለ ምንጭ ኮዶች ፕሮጀክቶችን የመተንተን ችሎታ ተሰጥቷል፣ ለዳልቪክ ምናባዊ ማሽን ባይት ኮድ ብቻ የሚገኝበት። ሌላው ጠቀሜታ በጣም ከፍተኛ የአፈፃፀም ፍጥነት ነው (የብዙ ሚሊዮን የኮድ መስመሮች ትንተና 10 ሰከንዶች ያህል ይወስዳል) ፣ እነሱ በሚተዋወቁበት ጊዜ የታቀዱትን ለውጦች ሁሉ ለመፈተሽ ማሪያና ትሬንች እንዲጠቀሙ ያስችልዎታል።

ተንታኙ የኮድ ግምገማ ሂደቱን በራስ -ሰር ለማድረግ እንደ ፕሮጀክት አካል ሆኖ ተሠራ የሞባይል መተግበሪያዎች ምንጭ የፌስቡክ ፣ የኢንስታግራም እና የ Whatsapp።

በ Android እና በጃቫ መተግበሪያዎች ውስጥ የደህንነት እና የግላዊነት ስህተቶችን ለመለየት እና ለመከላከል የምንጠቀምበት መሣሪያ ስለ ማሪያና ትሬንች (ኤምቲኤ) ዝርዝሮችን እናጋራለን። በህንፃ አውቶሜሽን አማካይነት ደህንነትን ለማሳደግ የምናደርገው ጥረት አካል ፣ በቅርቡ በፌስቡክ እና በመላው ኢንዱስትሪው ውስጥ የደህንነት መሐንዲሶችን ለመደገፍ ኤምቲኤን ከፍተናል።

ይህ ልጥፍ እኛ ወደምናምናቸው የማይለዋወጥ እና ተለዋዋጭ የትንታኔ መሣሪያዎች በተከታታይ በጥልቅ ዘልቆችን ውስጥ ሦስተኛው ነው። ለኤችቲ እና ለፓይተን ኮድ በቅደም ተከተል የተገነባው ዞንኮላን እና ፒሳን ተከትሎ ኤምቲኤ የቅርብ ጊዜው ስርዓት ነው።

በ 2021 የመጀመሪያ አጋማሽ ውስጥ በፌስቡክ ሞባይል አፕሊኬሽኖች ውስጥ ከሚገኙት ተጋላጭነቶች ውስጥ ግማሽ የሚሆኑት አውቶማቲክ የትንታኔ መሳሪያዎችን በመጠቀም ተለይተዋል። የማሪያና ትሬንች ኮድ ከሌሎች የፌስቡክ ፕሮጄክቶች ጋር በቅርብ የተሳሰረ ነው ፣ ለምሳሌ ፣ የሬዴክስ ባይትኮድ አመቻች አሠራር ባይትኮዱን ለመተንተን እና የ SPARTA ቤተ -መጽሐፍት ለእይታ ትርጓሜ እና ለውጦቹ ጥናት ጥቅም ላይ ይውላል።

ሊሆኑ የሚችሉ ተጋላጭነቶች እና የደህንነት ችግሮች የመረጃ ፍሰቶችን በመተንተን ተለይተው ይታወቃሉ በማመልከቻው አፈፃፀም ወቅት ፣ ሁኔታዎችን ለመለየት ያስችላል እንደ SQL መጠይቆች ፣ የፋይል አሠራሮች እና የውጭ ፕሮግራሞችን ማስጀመርን በሚመሩ ጥሪዎች ውስጥ በአደገኛ ግንባታዎች ውስጥ ጥሬ ውጫዊ ውሂብ የሚካሄድበት።

ኤምቲኤ ወደ ምርት ከመግባታቸው በፊት በትላልቅ የሞባይል ኮድ መሠረቶችን ለመቃኘት እና በመጎተት ጥያቄዎች ውስጥ ሊሆኑ የሚችሉ ችግሮችን ለመለየት እንዲችል ታስቦ ነው። እሱ የተፈጠረው በፌስቡክ ደህንነት እና በሶፍትዌር መሐንዲሶች መካከል የቅርብ ትብብር በመሆኑ ፣ MT ን ኮዱን እንዲመለከት እና መረጃ እንዴት በእሱ ውስጥ እንደሚፈስ በመተንተን በመተንተን ነው። የውሂብ ፍሰቶችን መተንተን ጠቃሚ ነው ምክንያቱም ብዙ የደህንነት እና የግላዊነት ጉዳዮች በማይገባበት ቦታ እንደሚፈስ ውሂብ ሊመሰሉ ይችላሉ።

የተንታኙ ሥራ የውሂብ ምንጮችን እና አደገኛ ጥሪዎችን ለመወሰን ፣ ዋናው መረጃ ጥቅም ላይ መዋል የሌለበት ቦታ: - ፓርስሰር በተግባራዊ ጥሪዎች ሰንሰለት በኩል የውሂብ መተላለፉን ይከታተላል እና የመጀመሪያውን ውሂብ በኮዱ ውስጥ ካሉ አደገኛ ቦታዎች ጋር ያገናኛል።

በ MT ውስጥ ስለሆነ የውሂብ ፍሰት በሚከተለው ሊገለፅ ይችላል-

  • ምንጭ - መነሻ ነጥብ። ይህ በ ‹Intent.getData`› በኩል ወደ ትግበራው የሚገባ በተጠቃሚ ቁጥጥር የሚደረግበት ሕብረቁምፊ ሊሆን ይችላል።
  • መጥረግ -መድረሻ። በ Android ላይ ይህ ወደ ‹Log.w` ወይም‹ Runtime.exec` ጥሪ ሊሆን ይችላል። ለምሳሌ ፣ ከጥሪ ወደ Intent.getData ያለው መረጃ ለመከታተል እንደ ምንጭ ይቆጠራል ፣ እና ወደ Log.w እና Runtime.exec የሚደረጉ ጥሪዎች እንደ አደገኛ አጠቃቀም ይቆጠራሉ።

አንድ ትልቅ የኮድ መሠረት ብዙ የተለያዩ ምንጮችን እና ተጓዳኝ ተቀባዮችን ሊይዝ ይችላል። ደንቦችን በመግለጽ የተወሰኑ ፍሰቶችን እንዲያሳየን ለ MT ልንነግረው እንችላለን።

አንድ ደንብ ፣ ለምሳሌ ፣ ‹በተጠቃሚ ቁጥጥር ከተደረገባቸው› ምንጮች ወደ ‹የርዕሰ ማዘዋወሪያ ገንዳዎች› ሁሉንም ዱካዎች የሚያሳየንን ደንብ በማብራራት ዓላማን አቅጣጫ ማዞሪያዎችን (አጥቂዎች ሚስጥራዊ መረጃን ለመጥለፍ የሚያስችሉ ችግሮች) መፈለግ እንደምንፈልግ ሊገልጽ ይችላል።

በመጨረሻ ስለዚህ ጉዳይ የበለጠ ለማወቅ ፍላጎት ካለዎት፣ የሚለውን ማረጋገጥ ይችላሉ ዝርዝሮችን በሚቀጥለው አገናኝ.


የጽሑፉ ይዘት የእኛን መርሆዎች ያከብራል የአርትዖት ሥነ ምግባር. የስህተት ጠቅ ለማድረግ እዚህ.

አስተያየት ለመስጠት የመጀመሪያው ይሁኑ

አስተያየትዎን ይተው

የእርስዎ ኢሜይል አድራሻ ሊታተም አይችልም. የሚያስፈልጉ መስኮች ጋር ምልክት ይደረግባቸዋል *

*

*

  1. ለመረጃው ኃላፊነት ያለው: ሚጌል Áንጌል ጋቶን
  2. የመረጃው ዓላማ-ቁጥጥር SPAM ፣ የአስተያየት አስተዳደር ፡፡
  3. ህጋዊነት-የእርስዎ ፈቃድ
  4. የመረጃው ግንኙነት-መረጃው በሕጋዊ ግዴታ ካልሆነ በስተቀር ለሶስተኛ ወገኖች አይተላለፍም ፡፡
  5. የውሂብ ማከማቻ በኦክሴንትስ አውታረመረቦች (አውሮፓ) የተስተናገደ የውሂብ ጎታ
  6. መብቶች-በማንኛውም ጊዜ መረጃዎን መገደብ ፣ መልሰው ማግኘት እና መሰረዝ ይችላሉ ፡፡