اكتشف عبد الله حسام غازي ثغرة في موقع flickr لتغيير تفاصيل الصورة



نبذة عن عبد الله حسام غازي من العراق مبرمج ومطور وباحث أمني عمره 17 سنة يجيد لغات تطبيقات الويب HTML.CSS.PHP.JS و VB.NET ، بدأ اكتشاف الثغرات مند سنة و أول لائحة شرف دخلها كانت لشركات نوكيا وهو الأان مدكور على 25 لائحة شرف منها مايكروسوفت ، تويتر ، أوراكل  ايباي ، أدوبي. وهو واحد من أعضاء OWASP الدولية .


فليكر flickr المملوكة لشركة ياهو، واحدة من أكبر مواقع إدارة الصور على الأنترنت، فليكر هو موقع تبادل الصور الأكثر شعبية في العالم مع أكثر من 87 مليون مستخدم و بالتالي  فالموقع هذف رئيسيي لمجرمي الأنترنت والتي من السهل جدا استغلالها من قبل ثغرة  (XSRF أو CSRF) التي اكتشفها عبد الله حسام لتغيير تفاصيل الصورة


و ماهي ثغرة CSRF هى اختصار لي Cross-Site Request Forgery (عبر الموقع طلب التزوير)
XSRF هي وسيلة لمهاجمة موقع ويب تعتمد بشكل او بأخر على الهندسة الإجتماعية لأنها تتطلب ارسال الرابط الى الضحية،
الرابط عبارة عن صفحة ويب بها اكواد خاصة من الموقع المصاب لتغيير وظيفة فى الموقع.

عندما يقوم مستخدم بتحميل صورة على موقع فليكر، فإنه سيتم إعادة توجيه المستخدم إلى صفحة حيت يمكنه من اضافة المعلومات على الصور مثل العلامات ، والوصف، واللقب، كما هومبين في الصورة أسفله


وفقا لعبد الله، الخلل يكمن في " magic_cookie " المعلمة، والتي تستخدم لحماية مستخدمي فليكر من الضعف XSRF.

شاهد الفيديو
×
مصدر الموضوع 

Post A Comment
  • Blogger Comment using Blogger
  • Facebook Comment using Facebook
  • Disqus Comment using Disqus

ليست هناك تعليقات :