Heapuiskutus on tekniikka, jota käytetään apuna tietojärjestelmien haavoittuvuuksien hyödyntämisessä. Sitä kutsutaan "kasan ruiskuttamiseksi", koska siihen kuuluu useiden tavujen kirjaaminen tavun eri paikoissa - suuri muistimuisti, joka on allokoitu käytettäväksi ohjelmissa. Perusajatus on samanlainen kuin seinämaalaus, jotta se olisi saman värinen. Seinän tavoin kasa "suihkutetaan" niin, että sen "väri" (sen sisältämät tavut) jakautuu tasaisesti koko muistin "pintaan".

Kuinka se toimii?

Kasa on alttiina tällaiselle hyökkäykselle, koska se alkaa yleensä ennalta määrätystä sijainnista muistissa, ja peräkkäiset kirjoitukset sijaitsevat usein peräkkäisissä muistipaikoissa.

Hyökkäyksen tavoitteena on varmistaa, että tavuja voidaan käyttää myöhemmin erillisen hyökkäyksen vektorina. Myöhemmin haittaohjelma voi käyttää osoittimen viittausta mielivaltaisen koodin suorittamiseen. Jos kasa on ruiskutettu kokonaan suoritettavalla koodilla, on todennäköistä, että osoitin viittaa koodiin on erittäin korkea. Siksi kasa spray ei oikeastaan ​​ole hyötyä, vaan tapa antaa muille hyödyntää suurempia mahdollisuuksia menestykseen.

Heapuiskutus toteutetaan yleensä web-selaimessa ja tunnistettiin ensin tekniikaksi 2000-luvun alussa. Heapuiskutushyökkäykset on osoitettu käyttämällä JavaScript, VBScript ja HTML5.

Hyökkäys, turvallisuusehdot