مت آستین، پژوهشگر ارشد امنیتی شرکت Contrast Security در این ارتباط گفته است: « هکرها با اضافه کردن یک پارامتر منفرد به سایتهایی که روی wix ساخته میشدند، این توانایی را به دست میآوردند تا کدهای جاوااسکریپت را بارگذاری کرده و این کدها را در قالب بخشی از سایت هدف اجرا کنند.» آستین روز چهارشنبه اعلام کرد: « با وجود آنکه از ماه اکتبر تلاشهای بسیاری صورت گرفت و هشدارهای متعددی برای این سرویسدهنده خدمات ابری ارسال شد، بازهم شاهد هستیم که آسیبپذیری همچنان به قوت خود باقی مانده و wix.com نسبت به این رخنه امنیتی بی تفاوت بوده است.»
تخمینها نشان میدهند که این شرکت میزبان بیش از 86 میلیون کاربری است که از این زیرساخت استفاده میکنند. نکتهای که باعث شد این آسیبپذیری مورد توجه کارشناسان قرار بگیرد به مکانیزم مورد استفاده در این حمله باز میگردد. بر عکس اکسپلویتهای چندسکویی اسکریپتی که فرآیند پیلود را درون صفحهای در واکنش به یک درخواست HTTP(S) پیادهسازی میکنند، حمله مدل شیگرای سند XSS اقدام به ویرایش محیط DOM در مرورگری میکند که اسکریپت سمت کلاینت را مورد استفاده قرار میدهد. در نتیجه کدهای عادی سمت کلاینت تحت تاثیر کدهای مخرب قرار میگیرند. آستین در ادامه صحبتهای خود دو سناریو محتمل برای حملات XSS را تشریح کرده است که بر مبنای مدل شیگرای سند اجرا میشوند.
در سناریو اول مالک یک سایت wix درگیر این حمله میشود. او فردی است که اغوا میشود تا یک آدرس اینترنتی مخرب را مورد بازدید قرار دهد. در زمان بازدید کدهای جاوااسکریپت دستکاری شده بارگذاری میشوند و نشست (session) مرورگر هدف را به سرقت میبرند. این فرآیند به هکر این توانایی را میدهد تا در قالب یک کاربر احراز هویت شده هرگونه فعالیت مخربی را همانند یک کاربر عادی به مرحله اجرا در آورد. این فعالیتهای مخرب میتوانند شامل ویرایش سایت Wix تحت کنترل قربانی باشند که در نتیجه مجوزهای مدیریتی را در اختیار هکر قرار میدهند یا به هکر اجازه میدهند به سایت تجارت الکترونیک wix نفوذ کرده و شماره کارتهای اعتباری را به سرقت ببرد. آستین در ارتباط با این سناریو گفته است: «کنترل مدیریتی یک سایت Wix.com به هکرها اجازه توزیع بدافزارها، طراحی باتنتهای توزیع شده مبتنی بر مرورگرها و کنکاش در ارز رمزپایه را میدهد. هکرها همچنین قادر خواهند بود روی کاربرانی که یک سایت را مورد بازدید قرار میدهند یا روی محتوای سایت کنترل داشته باشند.»
در سناریو دوم، هکرها سعی میکنند کاربران را با استفاده از یک آدرس اینترنتی دستکاری شده فریب داده تا یک سایت جعلی wix را مورد بازدید قرار دهند. این آدرس اینترنتی کدهای جاوااسکریپت را از طریق حملات XSS مبتنی بر مدل شیگرای سند درون سایت هدف بارگذاری میکند. در یک سناریو محتمل میتوان نشست مرورگر را به گونهای ویرایش کرد تا به جای دانلود موزیکها بدافزارهایی را دانلود کرده یا پرداختهای پیپال را به سمت یک حساب ثالث هدایت کند.
مت روزنبرگ، سخنگوی wix.com روز گذشته چهار نوامبر در بیانیه کوتاهی اعلام کرد: «ما موفق شدیم این آسیبپذیری را برطرف کنیم. امنیت مشتریان برای ما یک مقوله جدی است. ما برنامه کشف آسیبپذیری در ازای پاداش را به مرحله اجرا درآوردهایم و سعی خواهیم کرد این برنامه را گسترش دهیم.»
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟