کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
من سعی میکنم اسکریپتهای یک Loadload Android Metasploit را خودکار کنم. من می توانم هر اسکریپت را در ماژول / post به صورت خودکار با موفقیت انجام دهم، اما من سعی می کنم به طور خودکار geolocate ، dump_calllog و دیگران که در پست ماژول نیستند . من از آنچه که در پوشه های metasploit جستجو می کنم فکر می کنم که آنها در پوشه / lib / rex هستند. چگونه می توانم آنها را در autorunscript اضافه کنم به طوری که آنها را به طور خودکار؟
کد فعلی در پروژه من در زیر نشان داده شده است و Veracode گزارش شده است دستور تزریق سیستم
filename = Regex.Replace (نام فایل، [^a-zA-Z0-9_]]، "_") و ".svg"
ProcessStartInfo startInfo = default (ProcessStartInfo)؛
فرایند pStart = فرآیند جدید ()؛
startInfo = جدید ProcessStartInfo (myExecutedFilePath، "" "+ filename +" "--export-pdf = " "+ filename +" "))؛ // دستور ورود به سیستم عامل در این خط افزایش می یابد
pStart.StartInfo = startInfo؛
pStart.Start ()؛
pStart.WaitForExit ()؛
بنابراین، من راه حل برای حل این مسئله را از OWASP و Roslyn امنیت گرا تحقیق می کنم
و در اینجا کد من بعد از اصلاح بر اساس این پست ها
filename = Regex.Replace (نام فایل، [^a-zA-Z0-9_] "،" _ ") و" .svg "
ProcessStartInfo startInfo = default (ProcessStartInfo)؛
فرایند pStart = فرآیند جدید ()؛
startInfo = جدید ProcessStartInfo ()؛
startInfo.FileName = myExecutedFilePath؛
startInfo.Arguments = "" "+ filename +" "--export-pdf = " "+ filename +" ""؛ // Veracode هنوز مسئله را در این خط گزارش می دهد
pStart.StartInfo = startInfo؛
pStart.Start ()؛
pStart.WaitForExit ()؛
اما، Veracode همچنان گزارش تزریق دستورات سیستم عامل
بنابراین نگرانی های من در اینجا این است:
آیا من راه حل صحیح را برای حل تزریق دستورات سیستم عامل در این مورد اعمال کردم؟
یا، باید پیشنهاد کاهش آن را ؟
همانطور که در اینجا توضیح داده شد (https://www.helpnetsecurity.com/2014/06/27/exploiting-wildcards-on-linux/)، دستور tar برای اجرای کد دلخواه مورد استفاده قرار می گیرد.
آیا لیستی از دستورات لینوکس وجود دارد، ترجیحا شامل دستورات در بسته در توزیع مجدد رسمی، و همچنین اینکه آیا آنها شناخته شده است هر گونه عملکردی که کد ارائه شده توسط کاربر را اجرا کند؟ البته چنین تحلیلی نمیتواند تعیین کند که یک فرمان امن است، فقط یک راه به خوبی منتشر شده برای اجرای کد دلخواه وجود ندارد.
سخنران هوشمند شما می تواند برای تلفن های موبایل که انسان نمی تواند بشنود، به این معنی که مهاجمان به طور هیجان انگیز می تواند یک فرمان بدون شما متوجه شود. این در حال حاضر در آزمایشگاه ها اتفاق می افتد.
در اینجا کریگ اسمیت، نوشتن برای نیویورک تایمز:
در طول دو سال گذشته، محققان در چین و ایالات متحده شروع به نشان دادن اینکه می توانند دستورات پنهان را ارسال کنند قابل کشف به گوش انسان به سیری اپل، Alexa آمازون و دستیار گوگل. در داخل آزمایشگاه های دانشگاه، محققان توانسته اند به طور مخفیانه سیستم های هوش مصنوعی را بر روی تلفن های هوشمند و بلندگو های هوشمند فعال کنند، آنها را شماره گیری کرده و یا وب سایت ها را باز کند. در دستان اشتباه، این فن آوری می تواند برای باز کردن درب ها، استفاده از پول و یا خرید آنلاین، به سادگی با موسیقی پخش شده از طریق رادیو مورد استفاده قرار گیرد.
تصور کنید یک خودرو با صدای بلند پخش موسیقی است که به طور غیرقابل پیش بینی از الکسا و گوگل خانه برای باز کردن جلو در، درب. من مطمئن هستم که می توانید سناریوهای دیگر را بنویسید.
نگران نباشید: هیچ شواهدی وجود ندارد که هرکسی از این ترفندها در خارج از آزمایشگاه استفاده کند و هم آمازون و هم گوگل در مورد سوالات امنیتی مانند این کار می کنند. اگر نگران نباشید، آموزش Alexa را در نظر بگیرید تا صدای شما را تشخیص دهد یا چند حساب را برای Google Home تنظیم کند – شما می توانید بعضی از قابلیت ها را فقط به صداهای شناخته شده محدود کنید. و شما احتمالا پین محافظت از صدای خرید در Echo خود را، صرف نظر از اینکه شما در مورد این یا نگران هستید.
