vahid5835
3rd November 2013, 08:21 PM
کشف آسیبپذیری بحرانی در Twitter
http://www.iritn.com/archive/uploads/2012/12/index4.jpg
ک محقق امنیت در Q-CERT آسیب پذیری بحرانی را در شبکه اجتماعی Twitter کشف کرده که مهاجمین میتوانند توسط آن هر نوع دادهای را بارگذاری کنند.
به نقل از فن آوری اطلاعات ایران، Ebrahim Hegazy از کارشناسان امنیت Q-CERT است که یک آسیب پذیری جدی در شبکه اجتماعی توییتر کشف کرده که موجب میشود مهاجم بتواند فایلهای توسعه یافته را بارگذاری کند.
عدم وجود بررسی فایل هنگام بارگذاری موجب میشود تا یک مهاجم بتواند Script دلخواه و یا یک فایل Html را درون سرویس دهنده وارد کرده و از آن بهره برداری کند.
زمانی که یک توسعه دهنده برنامهای را ایجاد میکند به عنوان مثال در dev.twitter.com گزینههایی را برای بارگذاری تصاویری در دسترس دارد.
کنترل فایل در این بارگذاری باید محدود به Jpeg، PNG و موارد مشابه باشد که ظاهرا میتواند شامل فایلهای دیگر نیز باشد. از جمله فایلهایی که موجب دور زدن مکانیزمهای امنیتی شده بارگذاری فایلهای .PHP و .htaccess است که با موفقیت در twimg.com انجام شده است.
Hegazy پیش از این یک آسیب پذیری انتقال باز URL را نیز در این شبکه اجتماعی کشف کرده بود که توسط مسئولین امنیت Twitter وصله شد.
http://www.iritn.com/archive/uploads/2012/12/index4.jpg
ک محقق امنیت در Q-CERT آسیب پذیری بحرانی را در شبکه اجتماعی Twitter کشف کرده که مهاجمین میتوانند توسط آن هر نوع دادهای را بارگذاری کنند.
به نقل از فن آوری اطلاعات ایران، Ebrahim Hegazy از کارشناسان امنیت Q-CERT است که یک آسیب پذیری جدی در شبکه اجتماعی توییتر کشف کرده که موجب میشود مهاجم بتواند فایلهای توسعه یافته را بارگذاری کند.
عدم وجود بررسی فایل هنگام بارگذاری موجب میشود تا یک مهاجم بتواند Script دلخواه و یا یک فایل Html را درون سرویس دهنده وارد کرده و از آن بهره برداری کند.
زمانی که یک توسعه دهنده برنامهای را ایجاد میکند به عنوان مثال در dev.twitter.com گزینههایی را برای بارگذاری تصاویری در دسترس دارد.
کنترل فایل در این بارگذاری باید محدود به Jpeg، PNG و موارد مشابه باشد که ظاهرا میتواند شامل فایلهای دیگر نیز باشد. از جمله فایلهایی که موجب دور زدن مکانیزمهای امنیتی شده بارگذاری فایلهای .PHP و .htaccess است که با موفقیت در twimg.com انجام شده است.
Hegazy پیش از این یک آسیب پذیری انتقال باز URL را نیز در این شبکه اجتماعی کشف کرده بود که توسط مسئولین امنیت Twitter وصله شد.