آسیب پذیری XSS در نخستین موتور جستجوگر ایرانی
|
توسط: علي اصغر جعفري لاري - دوشنبه ٢٧ بهمن ١٣٩٣ ساعت ١٦:٠٣
|
|
|
|
برچسب ها:
آسيب پذيري XSS
موتور جستجوگر ايراني
آسيب پذيري در يوز
تيم پارسينگ
|
||
خبری در رابطه با یافتن آسیب پذیری XSS در نخستین موتور جستجوگر ایرانی که امروز توسط مسئول محتوای سایت تیم ما (تیم امنیت شبکه و تحقیقات سایبری پارسینگ) و دیگر سایت های خبری منتشر شد را برای علاقه مندان به حوزه هک و امنیت ارائه خواهم کرد. نخستین موتور جستجوگر ایرانی به نام یوز و به آدرس www.yooz.ir در روز 26 بهمن سال 93 برای استفاده کاربران کشورمان افتتاح شد. در تست مقدماتی از این موتور جستجوگر، آسیب پذیری XSS توسط تیم امنیت شبکه و تحقیقات سایبری پارسینگ یافت شد که پس از رفع آن، شرح آن را در ذیل آورده ایم.
نخستین موتور جستجوگر ایرانی به نام یوز و به آدرس Yooz در روز 26 بهمن سال 93 برای استفاده کاربران کشورمان افتتاح شد. در تست مقدماتی از این موتور جستجوگر، آسیب پذیری XSS توسط تیم امنیت شبکه و تحقیقات سایبری پارسینگ یافت شد که پس از رفع آن، شرح آن را در ذیل آورده ایم.
مدیر تیم، جناب علی اصغر جعفری لاری در رابطه با شناسایی این آسیب پذیری می گوید: "شخصا قصد استفاده از این موتور جستجوگر را داشتم و نخستین جستجویی که انجام دادم، واژه هک بود اما از روی کنجکاوی با یک تست ساده اما با تغییراتی برای دور زدن فیلترها، اسکریپت خود را تزریق کردم و با کمال تعجب متوجه شدم که این موتور جستجوگر به آسیب پذیری XSS مبتلا است و خیلی زود پایگاه یوز را برای عموم بازگشایی کرده اند".
تیم پارسینگ، شرح این آسیب پذیری را به مرکز ماهر به همراه مستندات لازم ارائه نمود تا این آسیب پذیری توسط بخش مربوطه رفع گردد اما متاسفانه پس از رفع این آسیب پذیری، آن بازخوردی که تیم پارسینگ از مجموعه ماهر و یوز انتظار داشت را بدست نیاورد. علی اصغر جعفری لاری می گوید: "تنها تست مقدماتی که بروی این پایگاه انجام دادم با موفقیت صورت گرفت و مسلما موتور جستجوگر یوز به آسیب پذیری های بسیاری در بخش برنامه کاربردی وب و حتی سرور مبتلا است که از آنها فعلا چشم پوشی می کنیم".
همواره در پروژه های جهانی، برای یک تیم طراح وب، یک تیم با حوزه امنیت وب نیز در نظر گرفته می شود تا مشکلات در فرایند طراحی و پس از آن، تست و ارزیابی شود. اما اینکه این پایگاه چنین تیمی در نظر گرفته است یا خیر، در جواب فرض را بر این گذاشت که تیم امنیت وبی مدنظر قرار نگرفته است چراکه ساده ترین آسیب پذیری با تستی نسبتا ساده در نخستین روز بازگشایی پایگاه، شناسایی شد.
تیم امنیت شبکه و تحقیقات سایبری پارسینگ پس از گزارش این آسیب پذیری به مرکز ماهر و رفع این آسیب پذیری توسط بخش خصوصی مربوطه، خبر یافتن این آسیب پذیری را منتشر نمود تا مشکلی برای پایگاه یوز بوجود نیاید. آنچه که در تصاویر زیر می بینید، آسیب پذیر بودن این پایگاه در مقابل آسیب پذیری XSS بوده است.
شرح آسیب پذیری XSS را می توانید در کتاب آموزش هک برای مبتدی ها مطالعه نمایید.
 |
سام اسفندیاری
١٣٩٤/٠١/١٥ ساعت ١٢:٣٥ با سلام خدمت شما و عزيزاني که براي اين وب سايت جامع و کامل زحمت و مديريت دلسوزانه اي ميکنند
بنده به نوبه ي خود چنين نظري دارم که متاسفانه زماني که برخي از دوستان در علم خود به حد مطلوبي ميرسند ديگر قادر به تحمل انتقاد را ندارند در حالي که استاد بزرگوار ما آقاي لاري در جهت بهبود مرورگر ملي ميهن ي ما دست به اقدام تست نفوذ و ايراد باگ هاي موجود کرده است مانند کاري که يک دکتر متخصص براي سلامت بدن ما انجام ميدهد در حالي که دوستان تيم طراحي موتور مرورگر و ... شايد با کوتاه نگري خود و اثبات علوم خود باور وجود همچين مسايل امنيتي را نداشته اند و آرزو مند هستم زماني فرا برسد که ما ايراني ها براي کار هم براي کمک هم براي پيشرفت ميهن خودمان ايران سطح فکري فرهنگي رواني خود را افزايش دهيم تا نه تنها از کمک هاي بزرگاواري چون استاد لاري بلکه از کمک همه ريز و درشت تلخ شيرين استفاده کنيم تا بهترين ها را بسازيم من از همين نقطه از زحمات شما دلسوزان قدر داني و تشکر ميکنم و از ايزد پاک براي تيم شبکه امنيتي پارسينگ بهترين موفقيت ها را آرزو مندم و پيشنهاد ميکنم دوستان عزيز طراحان مرورگر ايراني خواهشم |
| ثبت نظر جدید | |
| ثبت |
