بررسی آسیب پذیری SQL Injection در Yahoo! Contributors Network

Contributor.yahoo.com، شبکه ای از نویسندگانی است که محتویاتی همچون عکس ها، ویدیوها، مقالات و دانش خود را برای بیش از 600 میلیون بازدیدکننده به صورت ماهانه تولید و به اشتراک می گذارند. گزارشاتی منتشر شد که این آدرس به آسیب پذیری  Time based Blind SQL Injection، آسیب پذیر می باشد. از این جهت که هیچ پایگاه داخلی به بررسی این آسیب پذیری نپرداخته است، اینجانب بررسی مختصری از این آسیب پذیری خواهم داشت تا دانشجویان نیز از مراحل بهره برداری از آن، آشنا شوند.


بهروز صادقی پور، یک محقق امنیتی است که آسیب پذیری Blind SQLi را در وبسایت Yahoo گزارش داده است. با بهره برداری از این آسیب پذیری، هکرها می توانند پایگاه داده نویسندگان و کاربران را که شامل اطلاعات شخصی می باشد، به سرقت ببرند.

محقق امنیتی مذکور، این رخنه را به تیم امنیتی یاهو در چند ماه گذشته گزارش داده است. این تیم درباره وجود این آسیب پذیری، پاسخ مثبت ارائه کرده اند و در عرض یک ماه، این آسیب پذیری را با موفقیت رفع کردند. متاسفانه پس از این اتفاق، سایت یاهو اعلام کرد که بخش 'Yahoo Contributors Network' بسته خواهد شد و این امر باعث کاهش محبوبیت این بخش شد و همچنین تمام محتویات بروی آن، حذف گردید. به جز برخی موارد و محتوایی همچون بخش "استخدام ها"، ممکن است هنوز بروی وب وجود داشته باشد.

این آسیب پذیری بحرانی، پایگاه داده ای را افشاء می کند که در آن، اطلاعات حساس و شخصی این نویسندگانی در آن قرار دارد که از مشارکت و کار خود، حقوق دریافت می کنند. با بررسی انجام شده، متوجه می شویم که دو لینک به این رخنه، آسیب پذیر می باشند:

حمله SQL Injection حدود بیش از یک دهه کشف شده است. این حمله شامل قرار دادن یک پرس و جوی مخرب در برنامه کاربردی از طریق ورودی سمت سرویس گیرنده می باشد. آسیب پذیری های SQLi به عنوان یک آسیب پذیری بحرانی رتبه بندی شده است زیرا اگر این آسیب پذیری توسط هکرها مورد استفاده قرار گیرد، این امر باعث نقض پایگاه داده و نشت اطلاعات حساس از جمله اعتبارنامه ها می شود.

در واقع، با توجه به گزارش نرم افزار امنیتی Veracode 2014، آسیب پذیری های SQL Injection هنوز هم 32 درصد از تمام برنامه های کاربردی وب را به خطر می اندازد.

محقق امنیتی، David Dede در وبلاگ خود نوشته است که "ما در حال حاضر شاهد بیش از 50000 هزار حمله در روز هستیم که در طبقه بندی SQL Injection قرار دارد. اکثر این حملات، به طور خودکار بوده و سعی در به خطر انداختن آسیب پذیری های شناخته شده در سیستم های مدیریت وب رایج و پروژه های وب (Joomla,WordPress,vBulletin و...) هستند."


ادامه رشد آسیب پذیری SQL INJECTION

آنالیز انجام شده توسط شرکت های امنیتی نشان می دهد که تعداد تلاش های SQL Injection نسبت به گذشته، همچنان در حال رشد است. این آسیب پذیری مربوط به یک محل جغرافیای خاص نیست. اکثر مردم (عموم مردم، نه یک گروه متخصص) فکر می کنند که بهره برداری از این آسیب پذیری توسط منابع بدی همچون روسیه، برزیل، رومانی و چند کشور دیگر صورت می گیرد، در حالی که این حملات از تمام کشورها صورت می گیرد چراکه هکرها با این آسیب پذیری جذاب آشنا و همواره به بهره برداری از آن، امیدوار هستند.

 

علی اصغر جعفری لاری

علی اصغر جعفری لاری هستم. از سال 82 وارد دنیای "نفوذگری در وب" شدم و به صورت فردی، فعالیتم رو در این حوزه شروع کردم. پس از شش سال، دیدگاه اصلی من نسبت به این علم، به سمت و سوی "هک اخلاقی" تغییر پیدا کرد و سعی کردم شش سال دوم تجربیات زندگیم رو به صورت قانونمند و سودمند پیش ببرم. تخصص اصلی من "تست نفوذ برنامه های کاربردی وب" و تحقیق در حوزه "امنیت سایبری" هست و از روی علاقه، به مباحثی همچون تست نفوذ حوزه هایی مثل شبکه های بیسم، برنامه های کاربردی موبایل، کلاینت ها،سیستم های صنعتی و امواج رادیویی نیز پرداختم. تاکنون شش کتاب در حوزه هک و امنیت تالیف و ترجمه کردم و تیم پارسینگ رو برای رسیدن به اهداف بلندش یاری کردم.

وبگاه: www.parsing.ir پست الکترونیکی این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: