نقطه ضعف جدید در Yahoo میلیونها کاربر را تهدید می کند

یاهونقطه ضعف جدید در Yahoo کشف شده که می تواند میلیونها کاربر این سرویس پست الکترونیکی را در معرض خطر قرار داده و اختیار کامل اطلاعات Yahoo آنها را به دست گیرد.

یک کارشناس امنیتی به نام شاهین رمضانی با انتشار یک ویدئو بر روی سایت YouTube نحوه سوء استفاده از این نقطه ضعف جدید را نشان می دهد. این نقطه ضعف از نوع Cross-Site Scripting است که بر روی تمام مرورگرها قابل سوء استفاده می باشد.

این کارشناس امنیتی برای بهره برداری از این نقطه ضعف از یک پیوند (link) مخرب، یک ابزار آزمون نفوذ به نام Burp Suite، یک برنامه جانبی (add-on) برای مرورگر Chrome و کمی شیوه فریب و وسوسه (Social Engineering) استفاده می کند. وی نشان می دهد که چگونه در کمتر از پنج دقیقه می تواند به حساب کاربری Yahoo شخصی که پیوند مخرب را از طریق ایمیل دریافت کرده، وارد شود.

اطلاعات درباره این نقطه ضعف در اختیار شرکت Yahoo قرار گرفته و این کارشناس امنیتی قول داده که پس از رفع و ترمیم نقطه ضعف، نحوه سوء استفاده از آنرا را بر روی سایت خود abysssec.com منتشر کند.

مسئولان Yahoo هنوز واکنشی به این خبر نشان نداده اند.

 

اطلاعات تکمیلی 27/10/91

به دنبال تائید شرکت Yahoo به وجود نقطه ضعف فوق در سرویس پست الکترونیکی Yahoo Mail، این شرکت اخیراً اقدام به رفع و ترمیم آن نموده است. اکنون همانطور که کاشف این نقطه ضعف امنیتی قول داده بود، یک مقاله فنی 14 صفحه ای درباره نحوه استفاده و بهره برداری از این نقطه ضعف بر روی چند سایت امنیتی و از جمله سایت شرکتی که این کارشناس بعنوان مدیرفنی آن مشغول بکار است، منتشر شده است. علاقمندان به مطالعه این مقاله فنی می توانید از هر یک از پیوتدهای زیر برای دریافت آن اقدام نمایند.

 

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

14 پاسخ

  1. سلام
    متأسفانه از این دست مطالب بی محتوا و فاقد ارزش که توسط لاف زن های ایرانی بیان می شود، در سایت های ایرانی مشاهده می گردد.
    لازم به ذکر است که شرکت یاهو از جاوا اسکریپت در هیچ یک از صفحات خود استفاده نمی نماید که بتواند مورد حمله xss قرار بگیرد.
    لطفاَ این مطلب فاقد ارزش را از سایت خودتان برداشته و در انتشار موارد این چنینی، با حساسیت بیشتری عمل نمایید.
    با تشکر

    1. کاملاً موافق هستیم که لاف زن های زیادی در دنیای IT وجود دارد!
      ولی نباید ذکر نام یک فرد ایرانی باعث گردد که کل مطلب و رویداد زیر سئوال برود.
      پیوند خبر اصلی در زیر ارائه می شود تا بلکه خبر با دقت بیشتری مطالعه شود.
      حتی شاید بتوان نقطه نظرات فنی خود را با وارد شدن در بحث خوانندگان خبر، مطرح نمود.
      http://threatpost.com/en_us/blogs/yahoo-mail-xss-vulnerability-could-affect-millions-accounts-010713

  2. به نام خداوند مهربان
    با سلام مجدد
    ضمن عرض ادب و احترام، اینجانب این مطلب را اینقدر پوچ و بی محتوا می دانم که بخواهم در مورد آن مطلبی بنویسم و فقط به ذکر چند نکته بسنده می کنم:
    1- چند ماه پیش فایل ویدیویی از طرف یکی از دوستان کارشناس امنیتی برای بنده ارسال شد که دقیقاً عین مواردی که در این مقاله مطرح شده اند اما نه برای یاهو بلکه برای فیس بوک اتفاق می افتاد
    فایل ویدیویی را بنده چندین بار مرور کردم و مطمئن شدم که فایل با چندین بار ویرایش ساخته شده است و چنین عملی اصلاً انجام شدنی نیست در دنیای واقعی
    مکانیسم دقیقث این عمل را هم دقاقاً می دانم که به چه طریق است و این نقص فیس بوک نبود بلکه نقص افزونه ای بود که بر روی مرورگر نصب می شد
    2- مواردی که در این مقاله مطرح شده اند کاملاً غیر فنی بوده و تناقص های متعددی در متن آن مشاهده می شود.
    3- تا جایی که بنده اطلاع دارم شرکت یاهو از زبان برنامه نویسی مخصوصی بهره می برد که تاکنون به دلایل امنیتی، اطلاعاتی را در این خصوص منتشر نکرده است.
    4- پیشنهاد می شود چنانچه اطالاعاتی دارند این دوست عزیز، آن را در اختیار بنده قرار دهند تا طی ارتباطی که با دکتر مایک مدیر تیم تحقیقات امنیتی شرکت سیمانتک دارم، کدهای نفوذ را در اختیار آن ها قرار دهم تا این موضوع توسط یک شرکت قوی امنیتی، درستی سنجی شود.
    4- خداوند همه را از آفات مقام و شهرت محفوظ بدارد.
    والسلام
    محمد مهدی واعظی نژاد
    ISO/IEC 27001:2005 Auditor

    1. جالب است که Yahoo خود وجود چنین ضعفی را قبول کرده است و شما آنرا انکار می کنید!!
      a Yahoo spokesperson told TNW. “We were recently informed of an online video that demonstrated a vulnerability. We confirm that the vulnerability has been fixed.
      منبع: http://thenextweb.com/insider/2013/01/07/yahoo-mail-users-hit-by-widespread-hacking-xss-exploit-seemingly-to-blame/
      هر جند که تصور می کنم محتویات این سایت را نیز پوچ خواهید دانست!

  3. لاف زدن، کلمه جالبی است!

    جهت اطلاع، در تمام صفحات میل یاهو از جاوا اسکریپت استفاده می شود، برای امتحان می توانید امکان جاوا اسکریپ را در مرورگرتان غیر فعال کنید و بعد ببینید که آیا می توانید از این سرویس ها استفاده کنید یا خیر.

    بد نیست اگر خوانندگان این مطالب بعد از کسب اطلاعات بیشتر در این زمینه ها نسبت به فاقد ارزش بودن مطالب نظر دهند.

    1. سلامی دوباره
      واسه من نامفهومه که بر فرض وجود، باگ xss چه ربطی به حمله مهندسی اجتماعی داره؟ شما که خوشبختانه اطلاعات زیادی دارین، لطفا در این مورد توضیح بدهید تا ما هم متوجه امر بشیم.
      بعدش اینکه دوست عزیز، بهتر بود که از آدرس سایت whois بگیری تا متوجه بشی صاحب سایتی که به نام این کارشناس به اصطلاح امنیتیه کیه!
      من این کار رو واست کردم:
      http://www.whois.com/whois/abysssec.com
      خداوند متعال بر صبر و شکیبایی شما بیفزاید

      1. ما منعکس کننده خبر هستیم. ما مدعی کشف نقطه ضعف نیستیم تا از آن هم دفاع کرده و به شبهات آن پاسخ دهیم.
        ولی بطور کلی، از روش های مهندسی اجتماعی (Social Engineering) برای فریب کاربر استفاده می شود تا ناآگاهانه و یا از روی وسوسه و کنجکاوی عمل مورد نظر و نیاز افراد خلافکار/نفوذگران را انجام دهد تا راه برای اقدامات سوء بعدی باز شود.

        گرچه حاضر به زحمت نبودیم و نیازی هم برای اینکار نبود، نگاهی به لینک ارائه شده انداختیم. متوجه مورد خاصی نشدیم !؟ آیا نام Privacy Protection Services Inc شما را نگران کرده !؟ ما هم پیشنهاد مطالعه این لینک را می کنیم: http://www.whoisprivacyprotect.com

        اگر همچنان با این چنین دلبستگی و شوق به دنبال اثبات نظرات خود درباره این مقاله هستید، مطمئن هستیم با کمک دوستان و آشنایانی که به آنها اشاره داشته اید، می توانید به راحتی با شرکت مورد بحث و حتی با فرد مورد نظر ارتباط برقرار کنید.

        موفق باشید.

        1. سلام
          خسته نباشید. منظور بنده از ارسال لینک whois این بود که متوجه شوید فردی به نام شاهین رمضانی، صاحب سایت مذکور نیست و نمی دانم که شما چگونه متوجه این امر نشده اید؟؟؟
          دوم، در پاسخ به “ما منعکس کننده خبر هستیم. ما مدعی کشف نقطه ضعف نیستیم تا از آن هم دفاع کرده و به شبهات آن پاسخ دهیم” باید عرض کنم که صحیح می فرمایید ولی منتشر کننده یک خبر کذب هستید که هیچ اعتبار و پشتوانه فنی و علمی ندارد و این امر نشان دهنده این خواهد بود که اخبار را از منابع غیر معتبر تهیه می فرمایید و خبرهای درج شده در سایت شما، شاید در بعضی مواقع نیاز به درستی سنجی داشته باشند.
          سوم اینکه بنده هم ایمیل فرد مذکور را به دست آورده ام و هم توان این را دارم که به علت نشر اکاذیب و اخباری که می تواند باعث تشویش اذهان عمومی شود ایشان را از طریق مراجع قضایی، مورد پیگرد قانونی قرار دهم.
          چهارم اینکه این خبر اصلاً غیر فنی تهیه شده و موارد مطرح شده در آن، با دنیای واقعی هک و امنیت تفاوت های زیادی دارد. مهندسی اجتماعی خودش یه دنیاییه که ان شاءالله در کتابی که تا آخر امسال منتشر خواهم کرد، به ذکر کامل آن و شرح انواع مختلف آناتومی های این حمله خواهم پرداخت.
          خداوند متعال همه ما را از رحمت بی واسعه خویش، بهره مند فرموده و تلاش هایمان مورد توجه و عنایت صاحب العصر عج الله تعالی فرجه الشریف قرار گیرد.
          موفق باشید.

          1. جهت اطلاع خوانندگان با یک جستجوی ساده براحتی می توان به صفحه زیر رسید:
            http://www.exploit-db.com/wp-content/themes/exploit/docs/24109.pdf

            حالا منتشر کردن این مقاله کاملاً “فنی” در یک سایت تخصصی، قرار دادن ویدیویی مرتبط در یک سایت اجتماعی و انتشار خبر مربوط به آن توسط سایتهای “معتبر امنیتی” چگونه سبب تشویش اذهان عمومی می شود چیزی است که من یکی نفهمیدم.

      2. صحبت من فقط در مورد استفاده از JS در میل باهو بود و نه چیز دیگر.

        من هم متوجه نشدم منظور شما از آن Whois چیست،
        البته شبکه گستر یک لینک برای اطلاع کذاشته است، و لی در تکمیل آن، privacy protect امکانی است که در برخی از registrant های دامنه به رایگان وجود دارد و در صورت فعال کردن این امکان افراد دیگر امکان مشاهده مشخصات مالک دامنه را ندارد، مگر در موارد خاص، که این دامنه هم با این امکان محافظت می شود و چیزی از اطلاعات مالک آن دامنه قابل مشاهده نیست،
        وحتی بر فرض هم که اطلاعاتی قابل مشاهده بود، آیا صحت و یا عدم صحت مطلب مشخص می شد! بسیاری از دامنه ها در دنیا اطلاعات ثبت شده اش به نام افراد و یا موسستات دیگر است و نه بنام مالک حقیقی آن.

        1. سلام دوست عزیز
          نه اینطور نیست، با توجه به قوانینی که توسط icann وجود دارد (http://www.icann.org/en/help/dndr) تمامی registerها باید اطلاعات کاملی را از صاحب وب سایت که دربردارنده مشخصاتی همچون آدرس، تلفن، ایمیل و موارد اینچنینی است در هنگام ثبت دریافت نمایند که این مورد توسط تمام register ها نیز رعایت می شود.
          صاحب این سایت یک فرد آمریکایی است و حتی آدرس و شماره تلفن و فکس او هم وجود دارد. با این وجود، به نظر شما آیا در امکان صحت یا عدم صحت آن همچنان جای تردید وجود دارد؟
          تمام موسسات حقوقی هم طبق قوانین آیکن باید یک نماینده حقیقی داشته باشند تا اطلاعات وی دریافت گردد.
          موفق باشی

          1. مطالعه مقاله زیر را به کلیه علاقمندان این بحث توصیه می کنم. (یک مقاله است با دو لینک مختلف)

            http://abysssec.com/files/Yahoo!_DOMSDAY.pdf
            http://www.exploit-db.com/wp-content/themes/exploit/docs/24109.pdf

            مدیریت وبلاگ یقین دارد که مشارکت کنندگان در این بحث و دیگر خوانندگان، اکنون مدرک و مستند کافی برای قضاوت نهایی دارند.
            امید است خوانندگان محترم در آینده نیز با همین شور و شوق در مباحث اساسی تر و مهمتر مشارکت داشته باشند.

    2. سلام
      انتظار درج یک نظر، برای بیش از دو روز، می تواند نشان دهنده یک جانبه نظری سایت شما، عدم توجه کافی به نظرات خوانندگان مطالب و بعضی از موارد این چنینی باشد. البته امیدوارم که هیچ یک از موارد فوق نباشد.

      1. سیاست های این وبلاگ را مدیریت شرکت مهندسی شبکه گستر تعیین می کند و نظرات خوانندگان وبلاگ برایمان محترم و ارزشمند است.
        ولی یقیناً ما هیچ کنترلی بر روی برداشت های شخصی آنان نمی توانیم داشته باشیم و آنان در اینکار آزاد هستند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *