تبلیغات
پرتال اشتراک هک و امنیت

آمار بازید

کل بازدید ها :
بازدید امروز :
بازدید دیروز :
بازدید این ماه :
بازدید ماه قبل :
تعداد نویسندگان :
تعداد کل مطالب :
آخرین بروز رسانی :
نام شما :
ایمیل شما :
نام دوست شما:
ایمیل دوست شما:

Powered by 20Tools

سوء استفاده مهاجمان از ویژگی توسعه دهنده یاهو برای سرقت پست های الكترونیكی كاربران

یك محقق امنیتی اظهار داشت: مهاجمان می توانند پست های الكترونیكی و سایر اطلاعات خصوصی را از روی حساب كاربری كاربرانی كه یك صفحه مخرب را مشاهده می كنند، بخوانند. مهاجمان این كار را با سوء استفاده از یك ویژگی در وب سایت شبكه توسعه دهنده یاهو انجام می دهند.
روز یكشنبه در كنفرانس امنیتی DefCamp در بخارست پایتخت رومانی یك نسخه محدود شده از این حمله توسط یك فرد رومانیایی به نام Sergiu Dragos Bogdan نشان داده شد. در این كنفرانس، این محقق نشان داد كه چگونه كنسول YQL مبتنی بر وب كه بر روی وب سایت developer.yahoo.com در دسترس است، می تواند توسط مهاجمان مورد سوء استفاده قرار بگیرد تا دستورات YQL از طرف كاربران احزار هویت شده یاهو كه وب سایت های مخرب را مشاهده كرده اند، اجرا شود.
YQL یك زبان برنامه نویسی شبیه به SQL است كه توسط یاهو ایجاد شده است. این برنامه می تواند برای جستجو، فیلتر كردن و تركیب داده های ذخیره شده در پایگاه داده ها مورد استفاده قرار بگیرد.
كاربران احراز هویت نشده یاهو تنها می توانند جستجوهای عمومی مانند گرفتن اطلاعات از Yahoo Answers، Yahoo Weather و سایر خدمات را انجام دهند. با این حال اگر این كاربران وارد حساب كاربری خود شوند می توانند به جداول حاوی داده های حساب كاربری خود مانند پست های الكترونیكی و اطلاعات خصوصی پروفایل دسترسی داشته باشند.
هنگامی كه یك جستجو در فیلد "YQL statement" وارد می شود و دكمه "******" فشرده می شود، یك كد احراز هویت خاص برای نشست كاربر با نام "crumb" همراه با درخواست ارائه می شود. زمانی كه كاربر صفحه كنسول YQL را مشاهده می كند، كد crumb تولید شده و به طور خودكار به درخواست ها اضافه می شود.
در طول ارائه این حمله، Bogdan یك صفحه حمله PoC را كه یك آدرس developer.yahoo.com خاص را در یك iframe بارگزاری كرد، نشان داد. هنگامی كه این صفحه توسط یك كاربر احراز هویت شده مشاهده شود، iframe كد crumb كاربر مذكور را بر می گرداند.
در حمله PoC، Bogdan برای تغییر وضعیت پروفایل یاهو كاربر در پایگاه داده یاهو از یك دستور YQL استفاده كرد. او معتقد است برای انجام این كار از روش های دیگری نیز می توان استفاده نمود. به منظور خواندن پست های الكترونیكی، مهاجم نیاز دارد تا تكنیك دیگری را استفاده نماید تا بتواند داده های كاربر را به سرور خود منتقل كند.
این محقق گفت: تمام حمله می تواند كاملا به طور خودكار با استفاده از یك آسیب پذیری افشاء نشده كه در وب سایت developer.yahoo.com قرار دارد، انجام گیرد.
از آن جا كه این حمله از مسائل امنیتی متعددی سوء استفاده می كند و از روش های مختلفی برای اجرای آن استفاده می شود، Bogdan آن را "blended threat" می نامد. یاهو تاكنون به این حمله ارائه شده و راه حل های موجود برای مقابله با آن پاسخی نداده است.
منابع :
مرکز ماهر
Help net security



دسته بندی : جرایم سایبری ,
تاریخ: جمعه 17 آذر 1391 - 16:42 | نویسنده: Fri-BHG | نظرات: ()