شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 72 رأی - میانگین امتیازات: 3.07
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
privacy آسیب‌پذیری autofill نقض لینکداین کشف cyber و فیسبوک سایت bug کاربران فیس‌بوک حقوق security linkedin

کشف آسیب‌پذیری سایت لینکداین و نقض حقوق کاربران
#1
دیگر فیس‌بوک تنها شبکه اجتماعی نیست که امنیت داده در آن زیر سوال رفته است. مشکل امنیتی کشف شده در افزونه AutoFill، لینکداین را از نظر امنیتی زیر سوال برده است.

[تصویر:  do.php?img=5014]

این آسیب‌پذیری به مهاجمین اجازه می‌دهد تا اطلاعات کاربران لینکداین (Linkedin) را از قبیل نام، شماره تماس، رایانامه، کد پستی و عنوان شغلی را بدون اطلاع آن‌ها بدست بیاورند. فیس‌بوک اخیرا به دلیل استفاده‌ی غیر مجاز از یک افزونه JavaScript که منجر به نقض حقوق کاربرانش شد، مورد مواخذه قرار گرفت. در ۹ آوریل Jack Cable که یک محقق است به لینکداین آسیب‌پذیری‌ای را گزارش داد که موجب نقض حقوق کاربران این شبکه تخصصی می‌گردد.

اما چگونه مهاجمان از این آسیب‌پذیری استفاده خواهند کرد؟

مراحل سوءاستفاده از آسیب‌پذیری لینکداین
  • کاربر از یک سایت مخرب بازدید می‌کند. این وب‌سایت آیفرمی که مربوط به AutoFill لینکداین است را بارگذاری می‌‍کند.
  • این iframe به صورت مخفیانه در تمام صفحه بارگذاری می‌شود.
  • کاربر در هر جای صفحه که کلیک نماید، مانند این است که بر روی دکمه AutoFill لینکداین کلیک کرده است.
  • لینکداین که گمان می‌کند دکمه AutoFill توسط کاربر فشرده‌ شده است. اطلاعات کاربر از طریق postmessage به آن وب‌سایت مخرب ارسال می‌نماید.
  • وب‌سایت از طریق این کد اطلاعات کاربر را به دست می‌آورد.
واکنش لینکداین
در ۹ آوریل این آسیب‌پذیری به لینکداین گزارش شد. در ۱۰ آوریل ۲۰۱۸ لینکدین بدون عمومی کردن این موضوع این آسیب‌پذیری را وصله نمود. اما مشکل به صورت کامل برطرف نشد و امکان سوء استفاده باقی ماند. اما راهکار لینکداین چه بود؟ و چرا مشکل باقی ماند؟
راهکار لینکداین محدود کردن استفاده از AutoFill بود. لینکداین این امکان را فقط در اختیار شرکت‌هایی گذاشت که قرار داد تجاری با لینکداین داشتند. اما با این راهکار مشکل به صورت کامل حل نشد. زیرا اگر این سایت‌ها نسبت به حملات cross-site scripting آسیب‌پذیر باشند هنوز هم امکان نصب iframe بر روی یک وب‌سایت مخرب و بارگذاری AutoFill در آن وب‌سایت خواهد بود.

در نتیجه لینکداین یک راهکار دیگر برای رفع مشکل ارائه کرد. و در ۱۹ آوریل ۲۰۱۸ وصله امنیتی جدیدی برای رفع این آسیب‌پذیری ارائه کرد.

مراحل وصله کردن آسیب‌پذیری موجود توسط لینکداین
  • ۹ آوریل گزارش این آسیب‌پذیری به لینکداین
  • وصله کردن این آسیب‌پذیری توسط لینکداین و محدود کردن استفاده از AutoFill تنها برای شرکت‌هایی که با لینکداین قرارداد تجاری داشتند.
  • ۱۰ آوریل ارائه گزارش رفع نشدن کامل آسیب‌پذیری به لینکداین
  • ۱۹ آوریل ارائه‌ی وصله جدید از طرف لینکداین
منبع: دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.


ثبت دامنه و فروش هاست، سامانه پیامک، طراحی سایت، خدمات شبکه
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
  | دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

sms: 10004673  - 500021995
پاسخ
 سپاس شده توسط hoboot


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  معرفی آسیب پذیری های تحت وب saberi 0 1,537 ۹۷/۲/۲، ۰۱:۳۰ صبح
آخرین ارسال: saberi
  کشف آسیب‌پذیری خطرناک در phpMyAdmin mesterweb 0 1,251 ۹۶/۱۰/۳۰، ۰۵:۱۵ عصر
آخرین ارسال: mesterweb
  پویا دارابی آسیب‌پذیری جدیدی در فیسبوک کشف کرد mesterweb 0 1,375 ۹۶/۹/۸، ۰۵:۵۱ صبح
آخرین ارسال: mesterweb
  فایرفاکس به‌زودی درمورد هک شدن سایت‌ ها به کاربران اطلاع می‌دهد saman 0 1,780 ۹۶/۹/۴، ۱۲:۱۵ صبح
آخرین ارسال: saman
  سوء استفاده روس‌ها از آسیب پذیری مایکروسافت آفیس mesterweb 0 3,347 ۹۶/۸/۲۰، ۰۵:۳۴ صبح
آخرین ارسال: mesterweb
  آسیب پذیری جدید واتس اپ ، زمان ارسال پیام مخاطبان یا خوابیدن آنها mesterweb 0 1,840 ۹۶/۷/۲۰، ۰۴:۵۶ صبح
آخرین ارسال: mesterweb
  افشای آسیب‌پذیری خطرناک اینترنت اکسپلورر توسط گوگل hoboot 0 2,346 ۹۵/۱۲/۱۲، ۰۷:۲۵ صبح
آخرین ارسال: hoboot
  ریزش اطلاعات محرمانه کاربران ۵.۵ میلیون سایت ناشی از ضعف امنیتی در mesterweb 0 2,289 ۹۵/۱۲/۱۱، ۰۵:۱۶ صبح
آخرین ارسال: mesterweb
  آسیب‌پذیری سرویس ایمیل روسیه توسط محقق ایرانی کشف شد hoboot 1 2,573 ۹۵/۱۰/۲۲، ۰۳:۱۶ صبح
آخرین ارسال: saman
  صدرنشینی میزان آسیب پذیری اندروید در میان دیگر سیستم های عامل hoboot 1 2,515 ۹۵/۱۰/۲۱، ۰۹:۰۰ عصر
آخرین ارسال: mesterweb

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان