diamonds55
3rd October 2008, 05:57 PM
دو نفر از محققان دانشگاه پرینستون(princeton) در آخرین بررسی های خود موفق به کشف دو حفره امنیتی جدید در برخی سایت های مشهور شده اند که می تواند باعث دسترسی سوءاستفاده گران اینترنتی به اطلاعات شخصی و همچنین سرقت از حساب های الکترونیکی کاربران شود.
این حفره ها که "درخواست جعلی سایت متقلب"(csrf) نام گرفته اند، به هکرها امکان می دهند تا از طرف کاربری که در آن واحد وارد سایت شده است، اطلاعات شخصی او را در اختیار گرفته و از آن ها سوءاستفاده کنند.
به گفته "ویلیام زلر"(william zeller) و "ادوارد فلتن"(edward felten)، توسعه دهندگان سایت های اینترنتی به علت عدم دانش در مورد حفره های csrf، وجود آن ها را انکار می کنند.
این دو محقق پس از انجام بررسی های خود با نوشتن یک گزارش ویژه اعلام کردند که این حفره ها هم اکنون روی سایت های اینترنتی the new york times، ing direct، بانک ذخایر ارزی آمریکا، youtube گوگل و سایت خدمات وبلاگ نویسی metafilter وجود دارد.
یک هکر به منظور انتشار حفره csrf، یک صفحه اینترنتی ویژه درست کرده و کاربر را به سمت آن بکشاند. در این شرایط، صفحه اینترنتی درست شده توسط هکر، از طرف سایت اینترنتی آلوده شده یک درخواست نادرست را از طریق مرورگر اینترنتی به کاربر ارسال می کند.
طبق این گزارش، زبان برنامه نویسی html که امروزه برای راه اندازی سایت های اینترنتی مورد استفاده قرار می گیرد، این امکان را برای هکرها ایجاد می کند تا به سادگی دو نوع درخواست تقلبی را از طریق حفره csrf به کاربران ارسال کنند.
نکته اصلی که در این زمینه وجود دارد، نحوه به کارگیری زبان برنامه نویسی برای طراحی یک سایت اینترنتی و خدمات وابسته به آن است که در برخی مواقع سایت را به اهداف از پیش تعیین شده نمی رساند.
در این گزارش آمده است: «آنچه که در اصل باعث به جا ماندن تاثیراتcsrf و دیگر حفره های آسیب رسان می شود، به پیچیدگی های پروتکل های اینترنتی و سیر تکامل سایت های اینترنتی، از مراکز عرضه سرویس های اطلاعاتی به پلتفورم های قابل تعامل خدمات برمی گردد».
منبع خبر : همکاران سیستم
این حفره ها که "درخواست جعلی سایت متقلب"(csrf) نام گرفته اند، به هکرها امکان می دهند تا از طرف کاربری که در آن واحد وارد سایت شده است، اطلاعات شخصی او را در اختیار گرفته و از آن ها سوءاستفاده کنند.
به گفته "ویلیام زلر"(william zeller) و "ادوارد فلتن"(edward felten)، توسعه دهندگان سایت های اینترنتی به علت عدم دانش در مورد حفره های csrf، وجود آن ها را انکار می کنند.
این دو محقق پس از انجام بررسی های خود با نوشتن یک گزارش ویژه اعلام کردند که این حفره ها هم اکنون روی سایت های اینترنتی the new york times، ing direct، بانک ذخایر ارزی آمریکا، youtube گوگل و سایت خدمات وبلاگ نویسی metafilter وجود دارد.
یک هکر به منظور انتشار حفره csrf، یک صفحه اینترنتی ویژه درست کرده و کاربر را به سمت آن بکشاند. در این شرایط، صفحه اینترنتی درست شده توسط هکر، از طرف سایت اینترنتی آلوده شده یک درخواست نادرست را از طریق مرورگر اینترنتی به کاربر ارسال می کند.
طبق این گزارش، زبان برنامه نویسی html که امروزه برای راه اندازی سایت های اینترنتی مورد استفاده قرار می گیرد، این امکان را برای هکرها ایجاد می کند تا به سادگی دو نوع درخواست تقلبی را از طریق حفره csrf به کاربران ارسال کنند.
نکته اصلی که در این زمینه وجود دارد، نحوه به کارگیری زبان برنامه نویسی برای طراحی یک سایت اینترنتی و خدمات وابسته به آن است که در برخی مواقع سایت را به اهداف از پیش تعیین شده نمی رساند.
در این گزارش آمده است: «آنچه که در اصل باعث به جا ماندن تاثیراتcsrf و دیگر حفره های آسیب رسان می شود، به پیچیدگی های پروتکل های اینترنتی و سیر تکامل سایت های اینترنتی، از مراکز عرضه سرویس های اطلاعاتی به پلتفورم های قابل تعامل خدمات برمی گردد».
منبع خبر : همکاران سیستم