![[-]](https://forum.romaak.ir/images/first18/collapse.png "[-]")
۹۷/۲/۲۶، ۰۴:۲۲ صبح
دیگر فیسبوک تنها شبکه اجتماعی نیست که امنیت داده در آن زیر سوال رفته است. مشکل امنیتی کشف شده در افزونه AutoFill، لینکداین را از نظر امنیتی زیر سوال برده است.
این آسیبپذیری به مهاجمین اجازه میدهد تا اطلاعات کاربران لینکداین (Linkedin) را از قبیل نام، شماره تماس، رایانامه، کد پستی و عنوان شغلی را بدون اطلاع آنها بدست بیاورند. فیسبوک اخیرا به دلیل استفادهی غیر مجاز از یک افزونه JavaScript که منجر به نقض حقوق کاربرانش شد، مورد مواخذه قرار گرفت. در ۹ آوریل Jack Cable که یک محقق است به لینکداین آسیبپذیریای را گزارش داد که موجب نقض حقوق کاربران این شبکه تخصصی میگردد.
اما چگونه مهاجمان از این آسیبپذیری استفاده خواهند کرد؟
مراحل سوءاستفاده از آسیبپذیری لینکداین
- کاربر از یک سایت مخرب بازدید میکند. این وبسایت آیفرمی که مربوط به AutoFill لینکداین است را بارگذاری میکند.
- این iframe به صورت مخفیانه در تمام صفحه بارگذاری میشود.
- کاربر در هر جای صفحه که کلیک نماید، مانند این است که بر روی دکمه AutoFill لینکداین کلیک کرده است.
- لینکداین که گمان میکند دکمه AutoFill توسط کاربر فشرده شده است. اطلاعات کاربر از طریق postmessage به آن وبسایت مخرب ارسال مینماید.
- وبسایت از طریق این کد اطلاعات کاربر را به دست میآورد.
واکنش لینکداین
در ۹ آوریل این آسیبپذیری به لینکداین گزارش شد. در ۱۰ آوریل ۲۰۱۸ لینکدین بدون عمومی کردن این موضوع این آسیبپذیری را وصله نمود. اما مشکل به صورت کامل برطرف نشد و امکان سوء استفاده باقی ماند. اما راهکار لینکداین چه بود؟ و چرا مشکل باقی ماند؟
در ۹ آوریل این آسیبپذیری به لینکداین گزارش شد. در ۱۰ آوریل ۲۰۱۸ لینکدین بدون عمومی کردن این موضوع این آسیبپذیری را وصله نمود. اما مشکل به صورت کامل برطرف نشد و امکان سوء استفاده باقی ماند. اما راهکار لینکداین چه بود؟ و چرا مشکل باقی ماند؟
راهکار لینکداین محدود کردن استفاده از AutoFill بود. لینکداین این امکان را فقط در اختیار شرکتهایی گذاشت که قرار داد تجاری با لینکداین داشتند. اما با این راهکار مشکل به صورت کامل حل نشد. زیرا اگر این سایتها نسبت به حملات cross-site scripting آسیبپذیر باشند هنوز هم امکان نصب iframe بر روی یک وبسایت مخرب و بارگذاری AutoFill در آن وبسایت خواهد بود.
در نتیجه لینکداین یک راهکار دیگر برای رفع مشکل ارائه کرد. و در ۱۹ آوریل ۲۰۱۸ وصله امنیتی جدیدی برای رفع این آسیبپذیری ارائه کرد.
در نتیجه لینکداین یک راهکار دیگر برای رفع مشکل ارائه کرد. و در ۱۹ آوریل ۲۰۱۸ وصله امنیتی جدیدی برای رفع این آسیبپذیری ارائه کرد.
مراحل وصله کردن آسیبپذیری موجود توسط لینکداین
- ۹ آوریل گزارش این آسیبپذیری به لینکداین
- وصله کردن این آسیبپذیری توسط لینکداین و محدود کردن استفاده از AutoFill تنها برای شرکتهایی که با لینکداین قرارداد تجاری داشتند.
- ۱۰ آوریل ارائه گزارش رفع نشدن کامل آسیبپذیری به لینکداین
- ۱۹ آوریل ارائهی وصله جدید از طرف لینکداین
منبع: دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
ثبت دامنه و فروش هاست، سامانه پیامک، طراحی سایت، خدمات شبکه
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
| دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
sms: 10004673 - 500021995
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
| دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
sms: 10004673 - 500021995
