۱۳۸۸ اسفند ۳, دوشنبه

ضعفهای امنیتی eBay

 
clip_image002ای­بی (eBay) یکی از بزرگترین فروشگاه­های اینترنتی جهان است که روزانه در آن معاملات و حراجی­های بسیاری صورت می­گیرد.


این مطلب را در کنار این موضوع قرار دهید که هکرها همواره درصدد سوءاستفاده از کاربران اینترنتی بوده و هستند. اگر آنها در گذشته با اهدافی همچون به رخ کشیدن دانش و ابتکار خود و نیز کسب شهرت، سایت­ها را هک می­کردند، امروزه مباحث مالی و اقتصادی در این سیاه بازار بسیار پررنگ شده است.
از کنار هم گذاشتن دو مطلب فوق در کنار یکدیگر می­توان به یک نتیجه مهم رسید: eBay یکی از اهداف مهم و شیرین هکرها است.
از همین رو وقتی خبری از ناامن بودن eBay و وجود باگ­های نرم­ افزاری در آن منتشر می­شود، می­توان این حق را به کاربران سایت داد که بیش از معمول نگران شوند.
اخیراً چندین ضعف امنیتی در eBay گزارش شده است که می­تواند به ابزار خوبی برای عملی کردن افکار موذیانه هکرها تبدیل شود.
Nir Goldshlager پژوهشگر Avnet Information Security Consulting این باگ­ها را شناسایی و مطرح نموده است.
این آسیب­ پذیری­ها در بخش­های مختلف سایت eBay از قبیل صفحه eBay Live Help support، بخش eBay To Go و نیز صفحه eBay donations مشاهده شده است.
به گزارش eWeek تمام این رخنه­ های امنیتی ترمیم شده است، به استثنای باگ Cross site request forgery که مسئولین سایت همچنان سرگرم کار بر آن هستند.
با استفاده از Cross site request forgery یا CSRF یک شخص نامعتبر مانند یک هکر می­توانند خود را به جای عضو معتبر سایت جا زده و در حد اختیارات وی با سایت کار کند و اطلاعات مربوط به کاربر اصلی را دستکاری نموده، آنها را به اختیار خود تغییر دهد.
Goldshlager کاشف این آسیب­ پذیری­ها گفته است که من – به عنوان یک هکر – می­توانم با سوءاستفاده از باگ CSRF، رمز عبور کاربر را تغییر دهم. همچنین این توانایی را خواهم داشت که سوال امنیتی و اطلاعات شخصی حساب قربانی را نیز در کنترل خود گرفته و نهایتاً رمز عبور جدیدی برای حساب تنظیم کنم.
به نظر می­رسد مورد اخیر به این معناست که کاربر باید از خیر حسابش بگذرد و آن را دیگر متعلق به خود نداند!
یکی از مدیران امنیتی ای­بی در مصاحبه­ ای اعلام کرده است که کاربران سایت می­توانند هر نوع مشکل امنیتی مربوطه را به مرکز امنیتی eBay گزارش کنند.
در پایان بد نیست بدانید که آسیب­ پذیری Cross site request forgery دارای اسامی مختلفی است، از جمله: one-click attack، session riding و XSRF.
 
منابع: eWeek ، Wikipedia
ارسال شده توسط : در ساعت
برچسبها

هیچ نظری موجود نیست:

ارسال یک نظر

اشتراک در: نظرات پیام (Atom)
با کلیک روی دکمه جستجو به پورتال فروشگاهی وارد شده و از صدها هزار کالای موجود در این فروشگاه دیدن فرمایید