1. أهلا وسهلاً بكم في :: IQ-TeaM FORUM :: .
    إذا كانت هذه الزيارة الأولى أو لديك الرغبة بالانضمام لأعضاء شبكة عراق تيم فيجب الاطلاع على خصوصية الشبكه فربما بقائك زائر افضل لك من الانضمام بحيث أن قوانين شبكة عراق تيم لا تتناسب مع اهتماماتك .
    • للأطلاع على الخصوصية وسياسة الاستخدام - التفاصيل
    • بعد الاطلاع على سياسة الموقع وقوانين شبكة عراق تيم يمكنك التسجيل معنا - تسجيل عضو جديد
    إستبعاد الملاحظة
الكاتب : Dr.aL-jArH | المشاهدات : 1,827 | الردود : 3
حالة الموضوع:
مغلق
  1. Dr.aL-jArH DeveloPer Plus

    الأنتساب:
    ‏24 أغسطس 2012
    المشاركات:
    140
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    50
    السلام عليكم ورحمة الله وبركاته

    بسم الله ​

    [​IMG]

    مرة أخرى فريق جول الأمني يقوم بخداع نفسه , قام Ansuman Samantaray باحث أمني هندي بإكتشاف ثغرة أمنية صغيرة لكن مبدعة في Google drive التي تشكل خطر كالسبام و التحايل على الملايين من مستخدمي Google drive التي تجاهلها الفريق الأمني لجوجل قائلا عنها : " إنها محاولة تحايل ليس إلا, وهي ليست ثغرة في جوجل ".​

    وفق ما قاله Ansuman Samantaray أنه أبلغ عن هذه ثغرة تطبيق الأوامر في Google drive في 20 ديسمبر 2012 لفريق الأمني لجوجل و في اليوم التالي إكتشافه تم رفضه من طرف جوجل لتجنب إدخاله في منتدى صائدي ثغرات جوجل .​

    القدرة على تطبيق أوامر خبيثة عبر Google drive تشكل خطر أمني كبير, وليس إحتيال أو سبام فقط. يمكن أن تتطور لنشر برمجيات خبيثة حسب إبداع المهاجم في إستعمال الأوامر.​

    الخطأ يكمن في طريقة معاينة الملفات لـ Google drive في المتصفح. يمكن تطبيق الأوامر المكتوبة في الملف عن طريق لغة HTML/JavaScript بتغيير المتغير "export" الموجود في الرابط.​


    عندما يقوم المستخدم بإنشاء أو رفع ملف في Google Drive/Docs فإن الرابط لذلك الملف يحتوي على المتغير "Export" يقابل المتغير "Download" إفتراضيا, وذلك ليتمكن المستخدم من تحميل الملف فقط.

    لكن Ansuman وجد إذا قام المهاجم بتغيير المتغير "Download" إلى "View" فإن الكود المكتوب بواسطة المهاجم سوف يتم تطبيقه في المتصفح.​


    [​IMG]

    للإيضاح تم إنشاء ملف هنا بالمتغير عادي "Download" سوف يقوم بتحميل الملف مثلا هنا​

    وهنا تم إنشاء نفس الملف ولكن بتغيير المتغير إلى "View" هنا سوف يقوم بتطبيق الكود مثلا هنا ​


    مثلا هنا كود جافا يظهر مطالبة وهمية بباسوورد تسجيل الدخول للإطلاع على الملف ​

    [​IMG]


    إذا تم الأمر بنجاح, سوف يتم تخزين باسوورد الضحية في موقع أخر من هنا , ويتم إعادة توجيه الضحية إلى Google drive .​

    [​IMG]

    منقول للأمانه !!:{
     
  2. ĸʜɜʟɛɒ Active DeveloPer

    الأنتساب:
    ‏3 نوفمبر 2012
    المشاركات:
    102
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    50
    الإقامة:
    Gaza
    رد: ثغرة تطبيق الأوامر في Google drive خطر أمني

    تسلم ياغالي بارك الله بيك​
     
  3. ADNAN Developer

    الأنتساب:
    ‏29 أكتوبر 2012
    المشاركات:
    84
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    20
    الإقامة:
    الأرض
    رد: ثغرة تطبيق الأوامر في Google drive خطر أمني

    وعليكم السلام

    يعطيك العافية لمجهودك ​
     
  4. mr.mourad <span style="font-weight: bold; text-shadow: #BBBB V • I • P

    الأنتساب:
    ‏8 يوليو 2013
    المشاركات:
    170
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:
    50
    نظام التشغيل:
    Linux
    رد: ثغرة تطبيق الأوامر في Google drive خطر أمني

    يعطيك العافية :{1}:
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة