یافتن آسیب پذیری XSS در نخستین موتور جستجوگر ایرانی

نخستین موتور جستجوگر ایرانی به نام یوز و به آدرس http://www.yooz.ir در روز 26 بهمن سال 93 برای استفاده کاربران کشورمان افتتاح شد. در تست مقدماتی از این موتور جستجوگر، آسیب پذیری XSS توسط تیم امنیت شبکه و تحقیقات سایبری پارسینگ یافت شد که پس از رفع آن، شرح آن را در ذیل آورده ایم.


مدیر تیم، جناب علی اصغر جعفری لاری در رابطه با شناسایی این آسیب پذیری می گوید: "شخصا قصد استفاده از این موتور جستجوگر را داشتم و نخستین جستجویی که انجام دادم، واژه هک بود اما از روی کنجکاوی با یک تست ساده اما با تغییراتی برای دور زدن فیلترها، اسکریپت خود را تزریق کردم و با کمال تعجب متوجه شدم که این موتور جستجوگر به آسیب پذیری XSS مبتلا است و خیلی زود پایگاه یوز را برای عموم بازگشایی کرده اند".

تیم پارسینگ، شرح این آسیب پذیری را به مرکز ماهر به همراه مستندات لازم ارائه نمود تا این آسیب پذیری توسط بخش مربوطه رفع گردد اما متاسفانه پس از رفع این آسیب پذیری، آن بازخوردی که تیم پارسینگ از مجموعه ماهر و یوز انتظار داشت را بدست نیاورد. علی اصغر جعفری لاری می گوید: "تنها تست مقدماتی که بروی این پایگاه انجام دادم با موفقیت صورت گرفت و مسلما موتور جستجوگر یوز به آسیب پذیری های بسیاری در بخش برنامه کاربردی وب و حتی سرور مبتلا است که از آنها فعلا چشم پوشی می کنیم".

همواره در پروژه های جهانی، برای یک تیم طراح وب، یک تیم با حوزه امنیت وب نیز در نظر گرفته می شود تا مشکلات در فرایند طراحی و پس از آن، تست و ارزیابی شود. اما اینکه این پایگاه چنین تیمی در نظر گرفته است یا خیر، در جواب فرض را بر این گذاشت که تیم امنیت وبی مدنظر قرار نگرفته است چراکه ساده ترین آسیب پذیری با تستی نسبتا ساده در نخستین روز بازگشایی پایگاه، شناسایی شد.

تیم امنیت شبکه و تحقیقات سایبری پارسینگ پس از گزارش این آسیب پذیری به مرکز ماهر و رفع این آسیب پذیری توسط بخش خصوصی مربوطه، خبر یافتن این آسیب پذیری را منتشر نمود تا مشکلی برای پایگاه یوز بوجود نیاید. آنچه که در تصاویر زیر می بینید، آسیب پذیر بودن این پایگاه در مقابل آسیب پذیری XSS بوده است.

 

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: