Hromadné postrekovanie je technika používaná na pomoc pri využívaní zraniteľnosti v počítačových systémoch. To sa nazýva "postrekovanie haldy", pretože zahŕňa písanie sérií bajtov na rôznych miestach v halde - veľký fond pamäte, ktorá je pridelená na použitie programy. Základná myšlienka je podobná striekaniu nástrekom, aby bola celá rovnaká. Podobne ako stena je halda "striekaná" tak, že jej "farba" (bajty, ktoré obsahuje) je rovnomerne rozložená po celom jej povrchu "pamäte".

Ako to funguje?

Heap je náchylný na tento druh útoku, pretože zvyčajne začína vo vopred určenom umiestnení v pamäti a po sebe idúce zápisy sa často nachádzajú v po sebe idúcich umiestneniach v pamäti.

Cieľom útoku je zabezpečiť, aby boli bajty prístupné neskôr ako vektor samostatného útoku. Neskôr môže škodlivý softvér použiť odkaz ukazovateľa na vykonanie ľubovoľného kódu. Ak sa halda postriekala celým kódom, ktorý sa má vykonať, šanca, že ukazovateľ bude odkazovať na kód, je veľmi vysoká. Preto, sprej haldy nie je vlastne vykorisťovanie, ale spôsob, ako dať iným využije vyššiu šancu na úspech.

Hromadné postrekovanie je zvyčajne implementované vo webovom prehliadači a bolo prvýkrát identifikované ako technika na začiatku 2000s. Útoky na postrekovanie haldy boli demonštrované pomocou JavaScript, VBScript a HTML5.

Podmienky útoku