شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 6 رای - 1.83 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
privacy آسیب‌پذیری autofill نقض لینکداین کشف cyber و فیسبوک سایت bug کاربران فیس‌بوک حقوق security linkedin

کشف آسیب‌پذیری سایت لینکداین و نقض حقوق کاربران
#1
دیگر فیس‌بوک تنها شبکه اجتماعی نیست که امنیت داده در آن زیر سوال رفته است. مشکل امنیتی کشف شده در افزونه AutoFill، لینکداین را از نظر امنیتی زیر سوال برده است.

[عکس: do.php?img=5014]

این آسیب‌پذیری به مهاجمین اجازه می‌دهد تا اطلاعات کاربران لینکداین (Linkedin) را از قبیل نام، شماره تماس، رایانامه، کد پستی و عنوان شغلی را بدون اطلاع آن‌ها بدست بیاورند. فیس‌بوک اخیرا به دلیل استفاده‌ی غیر مجاز از یک افزونه JavaScript که منجر به نقض حقوق کاربرانش شد، مورد مواخذه قرار گرفت. در ۹ آوریل Jack Cable که یک محقق است به لینکداین آسیب‌پذیری‌ای را گزارش داد که موجب نقض حقوق کاربران این شبکه تخصصی می‌گردد.

اما چگونه مهاجمان از این آسیب‌پذیری استفاده خواهند کرد؟

مراحل سوءاستفاده از آسیب‌پذیری لینکداین
  • کاربر از یک سایت مخرب بازدید می‌کند. این وب‌سایت آیفرمی که مربوط به AutoFill لینکداین است را بارگذاری می‌‍کند.
  • این iframe به صورت مخفیانه در تمام صفحه بارگذاری می‌شود.
  • کاربر در هر جای صفحه که کلیک نماید، مانند این است که بر روی دکمه AutoFill لینکداین کلیک کرده است.
  • لینکداین که گمان می‌کند دکمه AutoFill توسط کاربر فشرده‌ شده است. اطلاعات کاربر از طریق postmessage به آن وب‌سایت مخرب ارسال می‌نماید.
  • وب‌سایت از طریق این کد اطلاعات کاربر را به دست می‌آورد.
واکنش لینکداین
در ۹ آوریل این آسیب‌پذیری به لینکداین گزارش شد. در ۱۰ آوریل ۲۰۱۸ لینکدین بدون عمومی کردن این موضوع این آسیب‌پذیری را وصله نمود. اما مشکل به صورت کامل برطرف نشد و امکان سوء استفاده باقی ماند. اما راهکار لینکداین چه بود؟ و چرا مشکل باقی ماند؟
راهکار لینکداین محدود کردن استفاده از AutoFill بود. لینکداین این امکان را فقط در اختیار شرکت‌هایی گذاشت که قرار داد تجاری با لینکداین داشتند. اما با این راهکار مشکل به صورت کامل حل نشد. زیرا اگر این سایت‌ها نسبت به حملات cross-site scripting آسیب‌پذیر باشند هنوز هم امکان نصب iframe بر روی یک وب‌سایت مخرب و بارگذاری AutoFill در آن وب‌سایت خواهد بود.

در نتیجه لینکداین یک راهکار دیگر برای رفع مشکل ارائه کرد. و در ۱۹ آوریل ۲۰۱۸ وصله امنیتی جدیدی برای رفع این آسیب‌پذیری ارائه کرد.

مراحل وصله کردن آسیب‌پذیری موجود توسط لینکداین
  • ۹ آوریل گزارش این آسیب‌پذیری به لینکداین
  • وصله کردن این آسیب‌پذیری توسط لینکداین و محدود کردن استفاده از AutoFill تنها برای شرکت‌هایی که با لینکداین قرارداد تجاری داشتند.
  • ۱۰ آوریل ارائه گزارش رفع نشدن کامل آسیب‌پذیری به لینکداین
  • ۱۹ آوریل ارائه‌ی وصله جدید از طرف لینکداین
منبع: دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.


ثبت دامنه و فروش هاست، سامانه پیامک، طراحی سایت، خدمات شبکه
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
  | دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

sms: 10004673  - 500021995


اشتراک گذاری این مطلب

فیسبوک گوگل پلاس تویتر کلوب فیسنما دیگ لینکداین تلگرام

پاسخ
 لایک شده توسطhoboot (97/2/26، 05:45 صبح)


لطفا دقت کنید که ارسال‌های جدید در این انجمن نیاز به تایید مدیریت قبل از نمایش دارند.
[-]
پاسخ سریع
پیام
پاسخ خود را برای این پیام در اینجا بنویسید.

تایید کاربر واقعی بودن
لطفا چک‌باکسی که در مقابل می‌بینید را علامت بزنید، این فرایند برای جلوگیری از ربات‌های اسپم‌ خودکار می‌باشد.

موضوعات مشابه ...
موضوع نویسنده پاسخ‌ها بازدید آخرین ارسال
  معرفی آسیب پذیری های تحت وب saberi 0 111 97/2/2، 01:30 صبح
آخرین ارسال: saberi
  کشف آسیب‌پذیری خطرناک در phpMyAdmin mesterweb 0 181 96/10/30، 05:15 عصر
آخرین ارسال: mesterweb
  پویا دارابی آسیب‌پذیری جدیدی در فیسبوک کشف کرد mesterweb 0 208 96/9/8، 05:51 صبح
آخرین ارسال: mesterweb
  فایرفاکس به‌زودی درمورد هک شدن سایت‌ ها به کاربران اطلاع می‌دهد saman 0 260 96/9/4، 12:15 صبح
آخرین ارسال: saman
  سوء استفاده روس‌ها از آسیب پذیری مایکروسافت آفیس mesterweb 0 1,421 96/8/20، 05:34 صبح
آخرین ارسال: mesterweb
  آسیب پذیری جدید واتس اپ ، زمان ارسال پیام مخاطبان یا خوابیدن آنها را نشان می‌دهد mesterweb 0 267 96/7/20، 04:56 صبح
آخرین ارسال: mesterweb
  افشای آسیب‌پذیری خطرناک اینترنت اکسپلورر توسط گوگل hoboot 0 770 95/12/12، 07:25 صبح
آخرین ارسال: hoboot
  ریزش اطلاعات محرمانه کاربران ۵.۵ میلیون سایت ناشی از ضعف امنیتی در Cloudflare mesterweb 0 722 95/12/11، 05:16 صبح
آخرین ارسال: mesterweb
  آسیب‌پذیری سرویس ایمیل روسیه توسط محقق ایرانی کشف شد hoboot 1 770 95/10/22، 03:16 صبح
آخرین ارسال: saman
  صدرنشینی میزان آسیب پذیری اندروید در میان دیگر سیستم های عامل hoboot 1 692 95/10/21، 09:00 عصر
آخرین ارسال: mesterweb

پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان