شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 46 رأی - میانگین امتیازات: 2.8
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
در جدیدی آسیب‌پذیری facebook کشف کرد پویا فیسبوک دارابی پویادارابی

پویا دارابی آسیب‌پذیری جدیدی در فیسبوک کشف کرد
#1
پویا دارابی، برنامه نویس ایرانی مجددا موفق به کشف حفره‌ی امنیتی در سایت فیسبوک شد.

[تصویر:  do.php?img=4096]

اتفاقات اخیر نشان می‌دهد که حتی وب‌سایتی با ارزش ۵۰۰ میلیارد دلار نیز می‌تواند دارای حفره‌های امنیتی و آسیب‌پذیر باشد. پویا دارابی، برنامه‌نویس ایرانی، چندی پیش مشکلی امنیتی را کشف کرد که به واسطه‌ی آن می‌شد هر عکسی را از پلتفرم شبکه‌ی اجتماعی آسیب‌پذیر حذف کرد.

این شبکه‌ی اجتماعی آسیب‌پذیر، فیسبوک بود که با اضافه‌ کردن قابلیت نظرسنجی دچار این مشکل شده بود. به واسطه‌ی این مشکل، نظرسنجی‌هایی که شامل عکس و تصاویر متحرک GIF بودند در معرض آسیب قرار گرفتند.

دارابی متوجه شد که هنگام ایجاد یک نظرسنجی جدید، در کدهای درخواستی که به سرور فیسبوک ارسال می‌شود هر کسی می‌تواند به‌راحتی آی‌دی تصویر یا آدرس فایل GIF را به هر عکس دیگری در این شبکه‌ی اجتماعی تغییر دهد. بعد از ارسال درخواست با آی‌دی تصویر عوض‌شده، نظرسنجی مورد نظر با آن تصویر نمایش داده خواهد شد.

دارابی توضیح می‌دهد:
هروقت یک کاربر بخواهد نظرسنجی ایجاد کند، درخواستی حاوی یوآرال فایل GIF یا آی‌دی تصویر به شکل poll_question_data[options][][associated_image_id] ارسال می‌شود. وقتی مقادیر این فیلد به آیدی تصویر دیگری تغییر کند، آن تصویر در نظرسنجی به نمایش درخواهد آمد.

همان‌طور که در ویدیوی فوق می‌بینید، ظاهرا اگر ایجادکننده‌ی نظرسنجی آن را پاک کند، تصویری که آی‌دی آن در نظرسنجی قرار گرفته بود نیز پاک می‌شود؛ حتی اگر عکس متعلق به سازنده‌ی نظرسنجی نباشد.
پویا دارابی می‌گوید بعد از گزارش این آسیب‌پذیری به فیس‌بوک در سوم نوامبر، مبلغ ۱۰ هزار دلار پاداش دریافت کرده است. فیسبوک دو روز بعد، در پنجم نوامبر، مشکل را حل کرد.

این اولین بار نیست که فیسبوک دچار آسیب‌پذیری‌های امنیتی شده است. در گذشته نیز محققان مشکلاتی کشف کرده بودند که به کاربران اجازه‌ی حذف ویدیوها، آلبوم‌های عکس و حذف کامنت و ویرایش پیام‌ها را می‌داد.

دارابی پیش‌تر نیز به دلیل کشف مشکلات امنیتی پاداش‌هایی از فیسبوک دریافت کرده بود. این محقق در سال ۲۰۱۵ با عبور از سیستم حفاظتی CSRF در فیسبوک ۱۵ هزار دلار و در سال ۲۰۱۶ با کشف مشکلی مشابه ۷۵۰۰ دلار از فیسبوک پاداش گرفته بود.




پاسخ
 سپاس شده توسط tak ، نگار ، saberi


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  دسترسی کامل هکرها به اطلاعات ۱۴ میلیون کاربر فیسبوک elshan 0 1,680 ۹۷/۷/۲۲، ۰۱:۵۰ عصر
آخرین ارسال: elshan
  کشف آسیب‌پذیری سایت لینکداین و نقض حقوق کاربران saberi 0 1,652 ۹۷/۲/۲۶، ۰۴:۲۲ صبح
آخرین ارسال: saberi
  توقف فعالیت کمبریج آنالیتیکا به دلیل جاسوسی از کاربران فیسبوک در نسیم 0 1,556 ۹۷/۲/۱۷، ۰۹:۱۶ عصر
آخرین ارسال: نسیم
  بدافزار جدیدی که تماس ها را مخفیانه ضبط می کند hoboot 1 1,862 ۹۷/۲/۲، ۱۲:۲۴ عصر
آخرین ارسال: KGasht
  معرفی آسیب پذیری های تحت وب saberi 0 1,539 ۹۷/۲/۲، ۰۱:۳۰ صبح
آخرین ارسال: saberi
  VPN جدید فیسبوک یک اپلیکیشن جاسوس افزار است tak 0 1,482 ۹۶/۱۱/۲۶، ۰۶:۰۴ عصر
آخرین ارسال: tak
  کشف آسیب‌پذیری خطرناک در phpMyAdmin mesterweb 0 1,252 ۹۶/۱۰/۳۰، ۰۵:۱۵ عصر
آخرین ارسال: mesterweb
  آشنایی با ویروس Digmine که از طریق فیسبوک منتشر می‌شود hoboot 0 1,764 ۹۶/۱۰/۸، ۰۵:۲۷ صبح
آخرین ارسال: hoboot
  با رعایت این موارد از شر بدافزارهای فیسبوک در امان باشید نسیم 0 2,420 ۹۶/۹/۱۵، ۰۹:۰۲ عصر
آخرین ارسال: نسیم
  سوء استفاده روس‌ها از آسیب پذیری مایکروسافت آفیس mesterweb 0 3,357 ۹۶/۸/۲۰، ۰۵:۳۴ صبح
آخرین ارسال: mesterweb

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان