VSCode код редакторына шабуыл жасау әдісі көрсетілген. Бұл әдіс редакторда арнайы пішімделген бастапқы кодты ашқан кезде ағымдағы пайдаланушының құқықтары бойынша кездейсоқ файлдарды беруге мүмкіндік береді. Көрсетілім барысында процедуралық макросты пайдаланатын Rust кодын ашқан кезде 127.0.0.1:8080 хостына қосылым орнатылады және пайдаланушының SSH кілттерін қамтитын "~/.ssh/id_rsa" файлының мазмұны жіберіледі.
Бұл мәселені шешу үшін жобада басқа әрекеттерді орындамай код файлын ашу жеткілікті. Бұл мысал VSCode жүйесіндегі rust-analyzer плагинін (әдепкі rustc компиляторының айналасындағы қаптама) және жүйеде орнатылған Rust тілінің құралдар тізбегін қажет етеді. Мәселе бастапқы кодты талдау кезінде процедуралық макростардың кеңеюінен туындайды. Ұқсас әсерге "cargo build" командасын пайдаланып компиляция кезінде де қол жеткізуге болады.
Мәселе басқа код редакторлары мен бағдарламалау тілдеріне әсер етуі мүмкін екендігі атап өтілді. VSCode және rust-analyze тек шабуыл векторын көрсету үшін пайдаланылды. Теориялық тұрғыдан алғанда, синтаксистік кеңейтімдерді және компиляция кезінде кодты орындауды қамтамасыз ететін процедуралық макростарды ашатын кез келген код редакторы мәселеге бейім. Бастапқыда зерттеуші кодты компиляциялау кезінде зиянды әрекеттердің мүмкіндігін зерттеді, бірақ код редакторларында бастапқы кодты өңдеу кезінде процедуралық макростардың пайда болатынын анықтады. Шабуыл басқа бағдарламалау тілдеріне де әсер етуі мүмкін; мысалы, Java тілінде аннотацияларды өңдеуді ұқсас түрде басқаруға болады.
Ақпарат көзі: opennet.ru
