شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .
باشگاه کاربران روماک
کشف آسیب‌پذیری سایت لینکداین و نقض حقوق کاربران - نسخه‌ی قابل چاپ

+- باشگاه کاربران روماک (https://forum.romaak.ir)
+-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3)
+--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5)
+--- موضوع: کشف آسیب‌پذیری سایت لینکداین و نقض حقوق کاربران (/showthread.php?tid=5322)



کشف آسیب‌پذیری سایت لینکداین و نقض حقوق کاربران - saberi - ۹۷/۲/۲۶

دیگر فیس‌بوک تنها شبکه اجتماعی نیست که امنیت داده در آن زیر سوال رفته است. مشکل امنیتی کشف شده در افزونه AutoFill، لینکداین را از نظر امنیتی زیر سوال برده است.

[تصویر:  do.php?img=5014]

این آسیب‌پذیری به مهاجمین اجازه می‌دهد تا اطلاعات کاربران لینکداین (Linkedin) را از قبیل نام، شماره تماس، رایانامه، کد پستی و عنوان شغلی را بدون اطلاع آن‌ها بدست بیاورند. فیس‌بوک اخیرا به دلیل استفاده‌ی غیر مجاز از یک افزونه JavaScript که منجر به نقض حقوق کاربرانش شد، مورد مواخذه قرار گرفت. در ۹ آوریل Jack Cable که یک محقق است به لینکداین آسیب‌پذیری‌ای را گزارش داد که موجب نقض حقوق کاربران این شبکه تخصصی می‌گردد.

اما چگونه مهاجمان از این آسیب‌پذیری استفاده خواهند کرد؟

مراحل سوءاستفاده از آسیب‌پذیری لینکداین
  • کاربر از یک سایت مخرب بازدید می‌کند. این وب‌سایت آیفرمی که مربوط به AutoFill لینکداین است را بارگذاری می‌‍کند.
  • این iframe به صورت مخفیانه در تمام صفحه بارگذاری می‌شود.
  • کاربر در هر جای صفحه که کلیک نماید، مانند این است که بر روی دکمه AutoFill لینکداین کلیک کرده است.
  • لینکداین که گمان می‌کند دکمه AutoFill توسط کاربر فشرده‌ شده است. اطلاعات کاربر از طریق postmessage به آن وب‌سایت مخرب ارسال می‌نماید.
  • وب‌سایت از طریق این کد اطلاعات کاربر را به دست می‌آورد.
واکنش لینکداین
در ۹ آوریل این آسیب‌پذیری به لینکداین گزارش شد. در ۱۰ آوریل ۲۰۱۸ لینکدین بدون عمومی کردن این موضوع این آسیب‌پذیری را وصله نمود. اما مشکل به صورت کامل برطرف نشد و امکان سوء استفاده باقی ماند. اما راهکار لینکداین چه بود؟ و چرا مشکل باقی ماند؟
راهکار لینکداین محدود کردن استفاده از AutoFill بود. لینکداین این امکان را فقط در اختیار شرکت‌هایی گذاشت که قرار داد تجاری با لینکداین داشتند. اما با این راهکار مشکل به صورت کامل حل نشد. زیرا اگر این سایت‌ها نسبت به حملات cross-site scripting آسیب‌پذیر باشند هنوز هم امکان نصب iframe بر روی یک وب‌سایت مخرب و بارگذاری AutoFill در آن وب‌سایت خواهد بود.

در نتیجه لینکداین یک راهکار دیگر برای رفع مشکل ارائه کرد. و در ۱۹ آوریل ۲۰۱۸ وصله امنیتی جدیدی برای رفع این آسیب‌پذیری ارائه کرد.

مراحل وصله کردن آسیب‌پذیری موجود توسط لینکداین
  • ۹ آوریل گزارش این آسیب‌پذیری به لینکداین
  • وصله کردن این آسیب‌پذیری توسط لینکداین و محدود کردن استفاده از AutoFill تنها برای شرکت‌هایی که با لینکداین قرارداد تجاری داشتند.
  • ۱۰ آوریل ارائه گزارش رفع نشدن کامل آسیب‌پذیری به لینکداین
  • ۱۹ آوریل ارائه‌ی وصله جدید از طرف لینکداین
منبع: دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.