Krūmų purškimas yra metodas, naudojamas padėti kompiuterinių sistemų pažeidžiamumui. Tai vadinama „krūvos purškimu“, nes tai apima baitų serijos rašymą įvairiose krūvos vietose - didelį atminties talpą, skiriamą naudoti programoms. Pagrindinė idėja yra panaši į sienos dažymo purškimą, kad ji taptų vienoda spalva. Kaip ir siena, krūva yra „purškiama“ taip, kad jo „spalva“ (jo turintys baitai) būtų tolygiai paskirstyta per visą „atminties paviršių“.

Kaip tai veikia?

Ši krūva yra pažeidžiama dėl tokio pobūdžio atakų, nes ji paprastai prasideda iš anksto nustatytoje atminties vietoje, o nuoseklūs rašmenys dažnai būna iš eilės esančiose atminties vietose.

Išpuolio tikslas yra užtikrinti, kad baitai būtų vėliau pasiekiami kaip atskiros atakos vektorius. Vėliau kenkėjiška programinė įranga gali naudoti rodyklės nuorodą, kad galėtų vykdyti savavališką kodą. Jei krūva buvo užpurkšta per visą kodą, kurį reikia įvykdyti, tikimybė, kad rodyklė nurodys kodą, yra labai didelė. Todėl krūvos purškalas iš tikrųjų nėra išnaudojimas, bet būdas suteikti kitiems išnaudoti didesnę sėkmės tikimybę.

Paprastai krūvos purškimas vykdomas žiniatinklio naršyklėje ir pirmą kartą 2000 m. Heap purškimo atakos buvo demonstruotos naudojant „JavaScript“, „VBScript“ ir HTML5.

Ataka, saugumo sąlygos