ثبت نام
|
ورود

ضعف امنیتی در YAHOO

توسط:  مدیریت  |  1393/03/16 | 03:13  |  3088 بار دیده شده

آسیبپذیری ای در سایت یاهو امکان پاک کردن هر نظری از کاربران را به شما میدهد:

دو ماه پیش آسیبپذیری ای در سایت رسمی پرسش و پاسخ شرکت یاهو "Yahoo Answers" یافت شد که به هکر ها امکان پاک کردن هر پست یا نظری را میداد.  این آسیبپذیری توسط یک هکر مسلمان به نام "Ahmed Aboul-Ela" کشف و گزارش شد.

در حالت عادی هر کاربری امکان پاک کردن نظرات خود که در بخش های مختلف منتشر کرده است را دارا میباشد. زمانی که روی دکمه ی " حذف " کلیک میشود یک متغیر به نام comment_id که شاخص هر نظر است به سمت سرور ارسال میگردد که نهایتا منجر به حذف آن پیام از دیتابیس میشود. نکته ای که در این میان قابل ذکر است آن است که بر سر راه این درخواست هیچ فیلترینگ امنیتی ای قرار داده نشده است (درخواست از طرف چه کاربری ارسال گردیده است) بنابر این با انجام عملیات Tampering به راحتی میتوان Comment_id هر پست دیگری را با شاخص نظر خود جایگزین و به سمت سرور ارسال کرد که نهایتا منجر به پاک شدن آن پیام از دیتابیس میشود. لازم به ذکر است که این سناریو زمانی قابل اجراست که نفوذگر اولین شخص پست دهنده در مقاله باشد.

شرکت یاهو این آسیبپذیری را طی هفته های کذشته رفع نمود.

(واحد خبری secure24)

بازدید کل: 288164  |   بازدید دیروز: 138  |   بازدید امروز: 127928
نیرو گرفته از: سرور های قدرتمند رایان هاستینگ
1393 - تمامی حقوق توسط secure24 محفوظ است | خدمتی از: ره رایان پژوه
لطفا منتظر بمانید...