शोषण (कंप्यूटर सुरक्षा)

एक एक्सप्लॉयट (अंग्रेजी क्रिया टू एक्सप्लॉयट से लिया गया है, जिसका अर्थ है अपने लाभ के लिए किसी चीज का उपयोग करना) सॉफ़्टवेयर का एक टुकड़ा, डेटा का एक हिस्सा, या कमांड का एक क्रम है जो सॉफ्टवेयर बग या भेद्यता (कंप्यूटर) का लाभ उठाता है। विज्ञान) कंप्यूटर सॉफ्टवेयर, हार्डवेयर, या कुछ इलेक्ट्रॉनिक (आमतौर पर कम्प्यूटरीकृत) पर होने वाले अनपेक्षित या अप्रत्याशित व्यवहार का कारण बनता है।^[1] इस तरह के व्यवहार में अक्सर कंप्यूटर सिस्टम पर नियंत्रण प्राप्त करना, विशेषाधिकार वृद्धि की अनुमति देना, या इनकार-ऑफ़-सर्विस अटैक|डिनायल-ऑफ़-सर्विस (DoS या संबंधित DDoS) हमले जैसी चीजें शामिल होती हैं। सामान्य शब्दों में, कुछ शोषण 'हैक' के समान है।

वर्गीकरण

कारनामों को वर्गीकृत करने के कई तरीके हैं। सबसे आम यह है कि कैसे शोषण कमजोर सॉफ़्टवेयर से संचार करता है।

एक दूरस्थ शोषण एक नेटवर्क पर काम करता है और कमजोर प्रणाली तक किसी पूर्व पहुंच के बिना सुरक्षा भेद्यता का शोषण करता है।

एक स्थानीय शोषण के लिए कमजोर प्रणाली तक पूर्व पहुंच की आवश्यकता होती है और आमतौर पर शोषण को चलाने वाले व्यक्ति के विशेषाधिकार सिस्टम प्रशासक द्वारा दिए गए विशेषाधिकारों को बढ़ाते हैं। क्लाइंट एप्लिकेशन के खिलाफ शोषण भी मौजूद है, आमतौर पर संशोधित सर्वरों से मिलकर जो क्लाइंट एप्लिकेशन के साथ एक्सेस किए जाने पर शोषण भेजते हैं। क्लाइंट एप्लिकेशन के विरुद्ध शोषण का एक सामान्य रूप ब्राउज़र शोषण है।

क्लाइंट एप्लिकेशन के खिलाफ शोषण के लिए उपयोगकर्ता के साथ कुछ बातचीत की भी आवश्यकता हो सकती है और इस प्रकार सोशल इंजीनियरिंग (सुरक्षा) पद्धति के संयोजन में इसका उपयोग किया जा सकता है। एक अन्य वर्गीकरण कमजोर प्रणाली के खिलाफ कार्रवाई के द्वारा है; अनधिकृत डेटा एक्सेस, मनमाना कोड निष्पादन और सेवा से इनकार इसके उदाहरण हैं।

कंप्यूटर सिस्टम में सुपरयूजर-लेवल एक्सेस प्रदान करने के लिए कई कारनामों को डिजाइन किया गया है। हालांकि, कई शोषणों का उपयोग करना भी संभव है, पहले निम्न-स्तरीय पहुंच प्राप्त करने के लिए, फिर विशेषाधिकारों को बार-बार बढ़ाना जब तक कि उच्चतम प्रशासनिक स्तर (अक्सर रूट कहा जाता है) तक पहुंच न जाए।

प्रभावित सॉफ़्टवेयर के लेखकों को एक शोषण के बारे में पता चलने के बाद, भेद्यता को अक्सर एक पैच के माध्यम से ठीक किया जाता है और शोषण अनुपयोगी हो जाता है। यही कारण है कि कुछ काली टोपी हैकिंग हैकर (कंप्यूटर सुरक्षा) के साथ-साथ सैन्य या खुफिया एजेंसियों के हैकर अपने कारनामों को प्रकाशित नहीं करते हैं बल्कि उन्हें निजी रखते हैं।

जिन लोगों ने उन्हें खोजा और विकसित किया, उन्हें छोड़कर सभी के लिए अज्ञात कारनामों को जीरो-डे (कंप्यूटिंग) शोषण कहा जाता है।

प्रकार

शोषण को आमतौर पर वर्गीकृत और नाम दिया जाता है^[2]^[3] भेद्यता के प्रकार से वे शोषण करते हैं (सूची के लिए भेद्यता (कंप्यूटिंग) देखें), चाहे वे स्थानीय/रिमोट हों और शोषण चलाने का नतीजा हो (उदाहरण के लिए विशेषाधिकार का उन्नयन (कंप्यूटिंग), सेवा से इनकार (कंप्यूटिंग) , स्पूफिंग हमला ) . एक योजना जो शून्य दिन के शोषण की पेशकश करती है, शोषण-ए-ए-सर्विस है।^[4]

जीरो-क्लिक

जीरो-क्लिक अटैक एक ऐसा शोषण है जिसे संचालित करने के लिए किसी उपयोगकर्ता सहभागिता की आवश्यकता नहीं होती है - यानी कोई की-प्रेस या माउस क्लिक नहीं।^[5] 2021 में खोजी गई FORCEDENTRY जीरो-क्लिक हमले का एक उदाहरण है।^[6]^[7] 2022 में, एनएसओ समूह कथित तौर पर व्यक्तियों के फोन में सेंध लगाने के लिए सरकारों को शून्य-क्लिक कारनामे बेच रहा था।^[8]

पिवोटिंग

पिवोटिंग हैकर्स और पैठ परीक्षकों द्वारा उपयोग की जाने वाली एक विधि है जो फ़ायरवॉल (कंप्यूटिंग) कॉन्फ़िगरेशन जैसे प्रतिबंधों से बचने के लिए उसी नेटवर्क पर अन्य सिस्टम पर हमला करने के लिए समझौता प्रणाली का उपयोग करती है, जो सभी मशीनों तक सीधी पहुंच को प्रतिबंधित कर सकती है। उदाहरण के लिए, यदि कोई हमलावर कॉर्पोरेट नेटवर्क पर वेब सर्वर से समझौता करता है, तो हमलावर नेटवर्क पर अन्य सिस्टम पर हमला करने के लिए समझौता किए गए वेब सर्वर का उपयोग कर सकता है। इस प्रकार के हमलों को अक्सर बहुस्तरीय हमले कहा जाता है। पिवोटिंग को आइलैंड होपिंग के नाम से भी जाना जाता है।

पिवोटिंग को आगे प्रॉक्सी सर्वर पिवोटिंग और वीपीएन पिवोटिंग में अलग किया जा सकता है:

प्रॉक्सी पिवोटिंग मशीन पर प्रॉक्सी पेलोड का उपयोग करके और कंप्यूटर से हमले शुरू करके एक समझौता किए गए लक्ष्य के माध्यम से ट्रैफ़िक को प्रसारित करने का अभ्यास है।^[9] इस प्रकार की धुरी कुछ ट्रांसमिशन कंट्रोल प्रोटोकॉल और डेटाग्राम प्रोटेकॉलका उपयोग करें पोर्ट्स तक सीमित है जो प्रॉक्सी द्वारा समर्थित हैं।

वीपीएन पिवोटिंग हमलावर को उस लक्ष्य मशीन के माध्यम से किसी भी नेटवर्क ट्रैफ़िक को रूट करने के लिए समझौता मशीन में सुरंग बनाने के लिए एक एन्क्रिप्टेड परत बनाने में सक्षम बनाता है, उदाहरण के लिए, समझौता किए गए मशीन के माध्यम से आंतरिक नेटवर्क पर भेद्यता स्कैन चलाने के लिए, हमलावर को प्रभावी रूप से पूरा नेटवर्क देना पहुंच जैसे कि वे फ़ायरवॉल के पीछे थे।

आमतौर पर, पिवोटिंग को सक्षम करने वाले प्रॉक्सी या वीपीएन एप्लिकेशन को लक्ष्य कंप्यूटर पर एक शोषण के पेलोड (सॉफ्टवेयर) के रूप में निष्पादित किया जाता है।

पिवोटिंग आमतौर पर एक नेटवर्क इन्फ्रास्ट्रक्चर (उदाहरण के लिए, एक कमजोर प्रिंटर या थर्मोस्टेट) के एक हिस्से में घुसपैठ करके और उन पर हमला करने के लिए जुड़े अन्य उपकरणों को खोजने के लिए एक स्कैनर का उपयोग करके किया जाता है। नेटवर्किंग के एक कमजोर हिस्से पर हमला करके, एक हमलावर अधिकांश या सभी नेटवर्क को संक्रमित कर सकता है और पूर्ण नियंत्रण हासिल कर सकता है।

यह भी देखें

↑ "शोषण - परिभाषा". www.trendmicro.com. Retrieved 2021-09-04.
↑ "आपत्तिजनक सुरक्षा द्वारा डाटाबेस का शोषण करता है". www.exploit-db.com.
↑ "शोषण डाटाबेस | रैपिड7". www.rapid7.com.
↑ https://web.archive.org/web/20211123034031/https://portswigger.net/daily-swig/exploit-as-a-service-cybercriminals-exploring-potential-of-leasing-out-zero-day-vulnerabilities Exploit-as-a-service
↑ "डरपोक जीरो-क्लिक के हमले एक छिपे हुए खतरे हैं". Wired. ISSN 1059-1028. Retrieved 2021-09-14.
↑ "चोरी-छिपे iPhone हैक करता है जिसे Apple अभी भी नहीं रोक सकता". Wired. ISSN 1059-1028. Retrieved 2021-09-14.
↑ "सिटीजन लैब का कहना है कि एक नया NSO ज़ीरो-क्लिक हमला Apple के iPhone सुरक्षा सुरक्षा से बचता है". TechCrunch. 24 August 2021. Retrieved 2021-09-14.
↑ Ryan Gallagher (February 18, 2022). "'ज़ीरो-क्लिक' हैक्स से सावधान रहें जो फ़ोन के ऑपरेटिंग सिस्टम में सुरक्षा खामियों का फायदा उठाते हैं". Insurance Journal.
↑ "Metasploit Basics – Part 3: Pivoting and Interfaces". Digital Bond.

इस पेज में लापता आंतरिक लिंक की सूची

भेद्यता (कंप्यूटर विज्ञान)
सर्विस अटैक से इनकार
शून्य-दिन (कंप्यूटिंग)
एक्सप्लॉयट-ए-ए-सर्विस
विशेषाधिकार का उत्थान (कम्प्यूटिंग)
उपयोगकर्ता संपर्क
प्रवेश परीक्षा

बाहरी संबंध

Media related to Computer security exploits at Wikimedia Commons

[1] "शोषण - परिभाषा". www.trendmicro.com. Retrieved 2021-09-04.

[2] "आपत्तिजनक सुरक्षा द्वारा डाटाबेस का शोषण करता है". www.exploit-db.com.

[3] "शोषण डाटाबेस | रैपिड7". www.rapid7.com.

[4] ttps://web.archive.org/web/20211123034031/https://portswigger.net/daily-swig/exploit-as-a-service-cybercriminals-exploring-potential-of-leasing-out-zero-day-vulnerabilities Exploit-as-a-service

[5] "डरपोक जीरो-क्लिक के हमले एक छिपे हुए खतरे हैं". Wired. ISSN 1059-1028. Retrieved 2021-09-14.

[6] "चोरी-छिपे iPhone हैक करता है जिसे Apple अभी भी नहीं रोक सकता". Wired. ISSN 1059-1028. Retrieved 2021-09-14.

[7] "सिटीजन लैब का कहना है कि एक नया NSO ज़ीरो-क्लिक हमला Apple के iPhone सुरक्षा सुरक्षा से बचता है". TechCrunch. 24 August 2021. Retrieved 2021-09-14.

[8] Ryan Gallagher (February 18, 2022). "'ज़ीरो-क्लिक' हैक्स से सावधान रहें जो फ़ोन के ऑपरेटिंग सिस्टम में सुरक्षा खामियों का फायदा उठाते हैं". Insurance Journal.

[9] "Metasploit Basics – Part 3: Pivoting and Interfaces". Digital Bond.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

शोषण (कंप्यूटर सुरक्षा)

Contents