ضعف امنیتی در Flickr

مایکروسافت: windows 11 ارائه نخواهد شد.
دسامبر 28, 2015
هوش امنیتی
می 24, 2016
نمایش همه

Flickr به عنوان یکی از زیر مجموعه های شرکت یاهو ، در حال حاضر یکی از بزرگترین سایت های اشتراک گذاری تصاویر در دنیا میباشد. این سایت با بیش از ۸۷ میلیون کاربر یکی از محبوب ترین سایت های مدریت و به اشتراک گذاشتن تصاویر است. به تازگی آسیبپذیری خطر ناکی توسط یک برنامه نویس ۱۷ ساله عراقی در Flickr کشف و گذارش شد. در دنیای امنیت اطلاعات از این آسیبپذیری با نام CSRF یاد میشود. به کمک این آسیبپذیری نفودگر قادر به جعل درخواست از سوی کاربری دیگر و ارسال آن درخواست به سرور میباشد. با استفاده از CSRF موجود در Flickr نفوذگر قادر خواهد بود که اطلاعات پروفایل کاربری دیگران (به طور دقیقتر تصاویر پروفایل) را به دلخواه خود تغییر دهد. سناریو طراحی شده توسط این هکر جوان تابع عراق شامل ساخت یک صفحه کاربری در Flickr و ایجاد یک HTML Form با عنوان فریب دهنده با محتوای تغییر عکس کاربری میباشد ، به گونه ای که اگر کاربری بر روی دکمه ی Submit فرم کلیک نماید (به طور مثال فرم در قالب ، فرم جعلی تماس با ما قرار داده شده است) Request ای نا خواسته در پشت پرده از سوی او به سرور جهت تغییر تصویر پروفایل ارسال میگردد.

این عملیات با monitor کردن HTTP Request در تغییر مشخصات پروفایل قابل مشاده میباشد. Header ارسالی توسط کاربر مبنی بر تغییر تصویر پروفایل کاربری دارای پارامتر هایزیر میباشد:

edit_done=1&upload_ids=14401638983&just_photo_ids=&set_id=&magic_cookie=32e285e98bbef3aa6afd8c879891c01b&title_14401638983=XSRF+bug+POC1&description_14401638983=XSRF+bug+POC1&tags_14401638983=XSRF+POC1&tags_14401638983=XSRF+POC2&Submit=SAVE

حال با تغییر پارامتر magic_cookie که مختص به هر کاربر میباشد ، نفودگر قادر به اجرای درخواست در سرور از طرف کاربر دیگری میباشد.
ساده ترین راه جولوگیری از حملات CSRF استفاده از Captcha میباشد.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *