شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 3 رأی - میانگین امتیازات: 2.67
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
privacy آسیب‌پذیری autofill نقض لینکداین کشف cyber و فیسبوک سایت bug کاربران فیس‌بوک حقوق security linkedin

کشف آسیب‌پذیری سایت لینکداین و نقض حقوق کاربران
#1
دیگر فیس‌بوک تنها شبکه اجتماعی نیست که امنیت داده در آن زیر سوال رفته است. مشکل امنیتی کشف شده در افزونه AutoFill، لینکداین را از نظر امنیتی زیر سوال برده است.

[تصویر:  do.php?img=5014]

این آسیب‌پذیری به مهاجمین اجازه می‌دهد تا اطلاعات کاربران لینکداین (Linkedin) را از قبیل نام، شماره تماس، رایانامه، کد پستی و عنوان شغلی را بدون اطلاع آن‌ها بدست بیاورند. فیس‌بوک اخیرا به دلیل استفاده‌ی غیر مجاز از یک افزونه JavaScript که منجر به نقض حقوق کاربرانش شد، مورد مواخذه قرار گرفت. در ۹ آوریل Jack Cable که یک محقق است به لینکداین آسیب‌پذیری‌ای را گزارش داد که موجب نقض حقوق کاربران این شبکه تخصصی می‌گردد.

اما چگونه مهاجمان از این آسیب‌پذیری استفاده خواهند کرد؟

مراحل سوءاستفاده از آسیب‌پذیری لینکداین
  • کاربر از یک سایت مخرب بازدید می‌کند. این وب‌سایت آیفرمی که مربوط به AutoFill لینکداین است را بارگذاری می‌‍کند.
  • این iframe به صورت مخفیانه در تمام صفحه بارگذاری می‌شود.
  • کاربر در هر جای صفحه که کلیک نماید، مانند این است که بر روی دکمه AutoFill لینکداین کلیک کرده است.
  • لینکداین که گمان می‌کند دکمه AutoFill توسط کاربر فشرده‌ شده است. اطلاعات کاربر از طریق postmessage به آن وب‌سایت مخرب ارسال می‌نماید.
  • وب‌سایت از طریق این کد اطلاعات کاربر را به دست می‌آورد.
واکنش لینکداین
در ۹ آوریل این آسیب‌پذیری به لینکداین گزارش شد. در ۱۰ آوریل ۲۰۱۸ لینکدین بدون عمومی کردن این موضوع این آسیب‌پذیری را وصله نمود. اما مشکل به صورت کامل برطرف نشد و امکان سوء استفاده باقی ماند. اما راهکار لینکداین چه بود؟ و چرا مشکل باقی ماند؟
راهکار لینکداین محدود کردن استفاده از AutoFill بود. لینکداین این امکان را فقط در اختیار شرکت‌هایی گذاشت که قرار داد تجاری با لینکداین داشتند. اما با این راهکار مشکل به صورت کامل حل نشد. زیرا اگر این سایت‌ها نسبت به حملات cross-site scripting آسیب‌پذیر باشند هنوز هم امکان نصب iframe بر روی یک وب‌سایت مخرب و بارگذاری AutoFill در آن وب‌سایت خواهد بود.

در نتیجه لینکداین یک راهکار دیگر برای رفع مشکل ارائه کرد. و در ۱۹ آوریل ۲۰۱۸ وصله امنیتی جدیدی برای رفع این آسیب‌پذیری ارائه کرد.

مراحل وصله کردن آسیب‌پذیری موجود توسط لینکداین
  • ۹ آوریل گزارش این آسیب‌پذیری به لینکداین
  • وصله کردن این آسیب‌پذیری توسط لینکداین و محدود کردن استفاده از AutoFill تنها برای شرکت‌هایی که با لینکداین قرارداد تجاری داشتند.
  • ۱۰ آوریل ارائه گزارش رفع نشدن کامل آسیب‌پذیری به لینکداین
  • ۱۹ آوریل ارائه‌ی وصله جدید از طرف لینکداین
منبع: دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.


ثبت دامنه و فروش هاست، سامانه پیامک، طراحی سایت، خدمات شبکه
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
  | دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

sms: 10004673  - 500021995


اشتراک گذاری این مطلب

فیسبوک گوگل پلاس تویتر کلوب فیسنما دیگ لینکداین تلگرام

پاسخ
 لایک شده توسط hoboot


لطفاً توجه داشته باشید که ارسال‌های جدیدی که در این انجمن ثبت می‌شوند، ابتدا باید توسط یکی از مدیران تأیید شوند و پس از تأیید مدیر، قابل دیدن خواهند بود.
[-]
پاسخ سریع
پیام
پاسخ خود به این مطلب را در اینجا بنویسید.

تایید ربات نبودن کاربر
لطفاً جعبه زیر را تیک بزنید. این فرآیند از فعالیت ربات‌ها جلوگیری می‌کند.

موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
  بدافزار ZooPark در کمین کاربران اندروید saberi 0 101 97/2/26، 05:32 صبح
آخرین ارسال: saberi
  انتشار باج‌افزارهایی از نوع زئوس (Zeus) در بین کاربران ایرانی تلگرام saberi 0 72 97/2/26، 04:52 صبح
آخرین ارسال: saberi
  توقف فعالیت کمبریج آنالیتیکا به دلیل جاسوسی از کاربران فیسبوک در انتخابات آمریکا نسیم 0 81 97/2/17، 09:16 عصر
آخرین ارسال: نسیم
  کمتر از ۱۰ درصد کاربران از ویژگی امنیتی گوگل استفاده می‌کنند نسیم 0 79 97/2/17، 09:07 عصر
آخرین ارسال: نسیم
  بدافزار ZooPark از کاربران خاورمیانه تلگرام و واتس اپ از جمله ایرانی ها اخاذی می کند! soraya 0 114 97/2/17، 07:46 عصر
آخرین ارسال: soraya
  معرفی آسیب پذیری های تحت وب saberi 0 82 97/2/2، 01:30 صبح
آخرین ارسال: saberi
  هک ویندوز از طریق بازدید از یک سایت mesterweb 0 125 97/1/25، 02:00 صبح
آخرین ارسال: mesterweb
  آموزش htaccess جهت ارتقای امنیت سایت saberi 10 2,840 96/12/23، 10:33 عصر
آخرین ارسال: mesterweb
  سایت‌های خرید و فروش کالاهای دست دوم، مکانی برای کلاهبرداران sara67 0 165 96/12/19، 10:09 عصر
آخرین ارسال: sara67
  سرقت اطلاعات کاربران ایرانی از طریق اپلیکیشن‌های جعلی hoboot 1 195 96/12/7، 02:20 عصر
آخرین ارسال: elshan

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان