حالة الموضوع:
مغلق
  1. Dr.aL-jArH

    Dr.aL-jArH DeveloPer Plus

    الأنتساب:
    ‏24 أغسطس 2012
    المشاركات:
    140
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    18
    السلام عليكم ورحمة الله وبركاته

    بسم الله ​

    [​IMG]

    مرة أخرى فريق جول الأمني يقوم بخداع نفسه , قام Ansuman Samantaray باحث أمني هندي بإكتشاف ثغرة أمنية صغيرة لكن مبدعة في Google drive التي تشكل خطر كالسبام و التحايل على الملايين من مستخدمي Google drive التي تجاهلها الفريق الأمني لجوجل قائلا عنها : " إنها محاولة تحايل ليس إلا, وهي ليست ثغرة في جوجل ".​

    وفق ما قاله Ansuman Samantaray أنه أبلغ عن هذه ثغرة تطبيق الأوامر في Google drive في 20 ديسمبر 2012 لفريق الأمني لجوجل و في اليوم التالي إكتشافه تم رفضه من طرف جوجل لتجنب إدخاله في منتدى صائدي ثغرات جوجل .​

    القدرة على تطبيق أوامر خبيثة عبر Google drive تشكل خطر أمني كبير, وليس إحتيال أو سبام فقط. يمكن أن تتطور لنشر برمجيات خبيثة حسب إبداع المهاجم في إستعمال الأوامر.​

    الخطأ يكمن في طريقة معاينة الملفات لـ Google drive في المتصفح. يمكن تطبيق الأوامر المكتوبة في الملف عن طريق لغة HTML/JavaScript بتغيير المتغير "export" الموجود في الرابط.​


    عندما يقوم المستخدم بإنشاء أو رفع ملف في Google Drive/Docs فإن الرابط لذلك الملف يحتوي على المتغير "Export" يقابل المتغير "Download" إفتراضيا, وذلك ليتمكن المستخدم من تحميل الملف فقط.

    لكن Ansuman وجد إذا قام المهاجم بتغيير المتغير "Download" إلى "View" فإن الكود المكتوب بواسطة المهاجم سوف يتم تطبيقه في المتصفح.​


    [​IMG]

    للإيضاح تم إنشاء ملف هنا بالمتغير عادي "Download" سوف يقوم بتحميل الملف مثلا هنا​

    وهنا تم إنشاء نفس الملف ولكن بتغيير المتغير إلى "View" هنا سوف يقوم بتطبيق الكود مثلا هنا ​


    مثلا هنا كود جافا يظهر مطالبة وهمية بباسوورد تسجيل الدخول للإطلاع على الملف ​

    [​IMG]


    إذا تم الأمر بنجاح, سوف يتم تخزين باسوورد الضحية في موقع أخر من هنا , ويتم إعادة توجيه الضحية إلى Google drive .​

    [​IMG]

    منقول للأمانه !!:{
     
  2. ĸʜɜʟɛɒ

    ĸʜɜʟɛɒ Active DeveloPer

    الأنتساب:
    ‏3 نوفمبر 2012
    المشاركات:
    102
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    18
    الإقامة:
    Gaza
    رد: ثغرة تطبيق الأوامر في Google drive خطر أمني

    تسلم ياغالي بارك الله بيك​
     
  3. ADNAN

    ADNAN Developer

    الأنتساب:
    ‏29 أكتوبر 2012
    المشاركات:
    84
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    الأرض
    رد: ثغرة تطبيق الأوامر في Google drive خطر أمني

    وعليكم السلام

    يعطيك العافية لمجهودك ​
     
  4. mr.mourad

    mr.mourad <span style="font-weight: bold; text-shadow: #BBBB V • I • P

    الأنتساب:
    ‏8 يوليو 2013
    المشاركات:
    170
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:
    18
    رد: ثغرة تطبيق الأوامر في Google drive خطر أمني

    يعطيك العافية :{1}:
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة