منطقه تاریک

اخبار روز در حوزه امنیت سایبری

مایکروسافت از کاربران حرفه ای برای ارتقای امنیت سرورهای ابری دعوت می کند

سه شنبه 5 شهریور 1398

نوع مطلب :اخبار دنیای امنیت، 

مایکروسافت آزمایشگاه جدید امنیتی آژور را راه‌اندازی نمود و قرار است برای ارتقای امنیت خدمات ابری خود مبلغ ۴۰ هزار دلار به پاداش نقدی قبلی اضافه نماید. همچنین، پاداش‌های ارزنده تری برای کارمندان آزمایشگاه  امنیتی آژور اعلام و با  Safe  Harbor تفاهم نامه ای برای ۲ دهه بسته اند.

آزمایشگاه امنیتی آژور محیط ابری با امنیت بسیار مطلوب برای مشتری آماده کرده است و به افراد این امکان را می‌دهد تا تلاش کنند فناوری های آژور را هک کنند، در عین حال شرایط به گونه ای طراحی شده است تا کاربران عمومی درمعرض خطر قرار نگیرند،آزمایشگاه امنیتی آژور بسیار تخصصی و یکتا است و ارتباطی بین کاربران عادی و  این آزمایشگاه  وجود ندارد. به این معنی که چالش‌های سناریو محور، هیچگونه تأثیری بر خدمات فعال برای کاربران عادی آژور نخواهد داشت. مایکروسافت مبلغ ۳۰۰ هزار دلار پاداش برای حل این چالش‌ها اعلام کرده است. جزئیات این جوایز عالی بر روی صفحه‌ی برنامه تشویقی آژور قابل مشاهده می باشد. همچنین به تازگی اطلاعیه امنیتی مایکروسافت در ZDNet بیان شده است.

متن اطلاعیه به این شرح می باشد:

    آزمایشگاه  امنیتی آژور بسته ای از میزبان‌های اختصاصی ابری برای محققان امنیتی است که حملات انجام شده به سمت خدمات ابری زیرساختی را بررسی می کنند ،این نکته دوباره تأکید می گردد که این آزمایش‌ها از مشتریان آژور کاملا جدا و بی ارتباط می باشد. به‌ هدف فراهم نمودن فضای آزمایشی امن، برنامه‌ی آزمایشگاه به محققان شرکت کننده این امکان را می‌دهد تا به صورت مستقیم با کارشناسان امنیتی آژور در تعامل  باشند. افراد مستعد به کمپین‌های ۳ ماهه به هدف اجرای سناریوهای هدفمند همراه با پاداش‌ و تشویق های ممتاز بکارگیری می شوند و خدمات انحصاری در اختیار آنها قرار خواهد گرفت. همچنین، مایکروسافت برای افرادی که باگ‌ها را شناسایی کنند، به صورت رسمی با  نام خودشان ثبت می کند ،بنابراین اعتبار  و پاداش برای شخص مربوطه خواهد بود.

مایکروسافت از امروز نرم افزارهایی برای پیوستن به آزمایشگاه امنیتی آژور راه‌ اندازی و از افراد انتخاب شده دعوت به عمل خواهد آمد تا بهترین عملکرد خود را ارائه دهند  و به‌ خوبی هکرهای قدرتمند عمل کنند. برای افرادی که شرایط همکاری داشته باشند این امکان تعبیه شده است که از طریق فرم مربوطه ، درخواست همکاری ثبت نمایند. همچنین، مایکروسافت با اجرای تعهدات بسته شده با Safe Harbor، این اطمینان را می دهد که  افراد بدون نگرانی از عواقب قانونی ، اقدام به گزارش آسیب‌پذیری‌های موجود نمایند.



رفع آسیب‌پذیری Disqus؛ افزونه‌ی ارسال نظرِ وردپرس

یکشنبه 26 مرداد 1393

نوع مطلب :اخبار دنیای امنیت، 

Disqus یکی از افزونه‌های مهم سامانه‌ی مدیریت محتوای ورد‌پرس، که برای ایجاد نظرات و بحث در وب‌گاه‌های وردپرس استفاده می‌شود، تعدادی از آسیب‌پذیری‌های امنیتی مهم را وصله کرده است. این آسیب‌پذیری‌ها در تمام نسخه‌ها تا نسخه‌ی 2.75 موجود هستند. 
مهم‌ترین آسیب‌پذیری‌های وصله شده در نسخه‌ی 2.76 از این محصول، مربوط به آسیب‌پذیری CSRF در مولفه‌ی manage.php هستند. مهاجم برای حمله به این آسیب‌پذیری می‌تواند یک وب‌گاه مخرب راه‌اندازی کند و کد سوء‌استفاده را به مرورگر کاربر تزریق نمایدو خطاهای امنیتی مربوط به CSRF در نرم‌افزار‌های وب رایج هستند و البته این‌ آسیب‌پذیری‌ها به یکی از علاقه‌مندی‌های مهاجمان سایبری نیز تبدیل شده‌اند.
 
توضیحات فنی آسیب‌پذیری
سه پارامتر از افزونه‌ی مذکور به نام‌های disqus_replace ،disqus_public_key و disqus_secret_key  بدون هیچ فیلتری به تابع update_option به صورت مستقیم ارسال می‌شوند. در مستندات راهنمایی تابع update_option آمده است که این تابع هر پارامتری را که دریافت می‌کند در پایگاه‌داده ذخیره می‌کند. 
بنابراین اگر در توسعه‌ی یک افزونه توسعه‌دهندگان فیلتر و اعتبارسنجی متغیرها را قرار دهند۷ مشکلی به وجود نمی‌آید، اما در افزونه‌ی disqus این مسئله رعایت نشده است. Nik Cubrilovic محققی است که این آسیب‌پذیری را کشف و گزارش کرده است. 
در ادامه در پرونده‌ی manage.php مشاهده می‌شود که پارامتر‌های مذکور، با استفاده از get_option در دست‌رس قرار می‌گیرند، Cubrilovic در وبلاگ خود کد سوء‌استفاده از این آسیب‌پذیری را شرح داده است و از آن برای تست نفوذ یک وب‌گاه نیز استفاده کرده است. این محقق دو آسیب‌پذیری دیگر را نیز شرح داده است که به اندازه‌ی آسیب‌پذیری اول جدی نیستند. 
 
با توجه به محبوبیت سامانه‌ی مدیریت محتوای وردپرس و تمایل به استفاده از افزونه‌ی disqus در این وب‌گاه، به کاربران توصیه می‌شود هر چه زودتر افزونه‌ی مذکور را به‌روزرسانی کنند تا از خطرات احتمالی این آسیب‌پذیری در امان باشند.


ضعف امنیتی در سایت بانک صادرات ایران

پنجشنبه 19 دی 1392

نوع مطلب :اخبار دنیای امنیت، 

وجود ضعف امنیتی در بانک صادرات که هکر توسط آن می تواند به صورت غیر مجاز فایل های بانک صاردات را مشاهده و دانلود کند و در صورت توانایی بالای هکر، دسترسی به کل سامانه ی بانک صادرات مقدور می باشد.

 تیم امنیتی مپا پس کاوش در اینترنت متوجه ضعف امنیتی در بانک صادرات شده است، که هکر توسط لینک زیر می تواند به صورت غیر مجاز فایل های بانک صاردات را مشاهده و دانلود کند و در صورت توانایی بالای هکر، دسترسی به کل سامانه ی بانک صادرات مقدور می باشد.

این گروه برای اثبات حسن نیت خود و کمک به سایت های ایرانی به صورت دوستانه و صادقانه، در ابتدا ضعف های امنیتی سایت های مهم را اول به خود سازمان به صورت خصوصی گزارش می دهد، در صورت توجه ننمودن مدیر سایت، باگ به صورت عمومی منتشر می شود تا مسئولین پیگیری کنند.

لینک اول 

http://w3.bsi.ir/en/Reports List/AllItems.aspx

 لینک دوم 

http://w3.bsi.ir/_layouts/viewlsts.aspx

 




فهرست وبلاگ
پیوندهای روزانه
طبقه بندی
آرشیو
پیوندها
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
جستجو
اَبر برچسبها
ساخت وبلاگ در میهن بلاگ

شبکه اجتماعی فارسی کلوب | اخبار کامپیوتر، فناوری اطلاعات و سلامتی مجله علم و فن | ساخت وبلاگ صوتی صدالاگ | سوال و جواب و پاسخ | رسانه فروردین، تبلیغات اینترنتی، رپرتاژ، بنر، سئو