Mr_007

پنجرۀ جدیدی به روی حملات فیشینگ

1 ارسال در این موضوع قرار دارد

تا کاربران در معرض خطر سرقت شدن اطلاعات و حملات فیشینگ قرار بگیرند.

بن هالپرن (Ben Hepern)، یکی از توسعه دهنده های زبان های رابی و جاوا اسکریپت، علت به وجود آمدن آسیب پذیری مذکور را ویژگی های به کار رفته در target بیان کرده و گفت: «زمانی که یک وبگاه از target=_blank برای باز کردن یک لینک در یک زبانه یا پنجره ی جدید استفاده می کند، برای دسترسی به پنجره ی جدید از رابط برنامه نویسی نرم افزار " window.opener API" استفاده کرده و دسترسی های محدودی را به دست می آورد. این دسترسی ها تعدادی از محدودیت های دامنه ی متقابل را حذف می کنند.»

از لحاظ نظری یک هکر می تواند با استفاده از صفت های انتقال به یک صفحه ی جدید، کدهای مخربی را در صفحه ی وبی که در یک پنجره یا زبانه ی تازه باز می شود، قرار بدهند. سپس زمانی که کاربر روی لینک قرارگرفته در صفحه ی مبدأ کلیک می کند، یک پنجره ی جدید باز شده و شروع به برگزاری می شود. در همین زمان، کدهای مخرب فعالیت خود را آغاز و با استفاده از صفت یاد شده یک صفحه ی فیشینگ را (به عنوان مثال در صفحه ی مبدأ) ایجاد می کند.

هم اکنون فیس بوک تحت تأثیر آسیب پذیری مذکور در تمام مرورگرها قرار می گیرد. این درحالی است که شبکه ی اجتماعی توییتر تنها در زمان استفاده از مرورگر سافاری تحت تأثیر قرار گرفته و اینستاگرام به صورت کامل این آسیب پذیری را بر طرف کرده است.

هالپرن با بیان این که هکرها می توانند از طریق روش مذکور به سرقت اطلاعات کاربران بپردازند، گفت: «زمانی که یک حمله ی فیشینگ با استفاده از این روش صورت می گیرد، هکر از طریق صفحه ی جدید باز شده، به صفحه ی اصلی دسترسی دائمی پیدا می کند و می تواند به راحتی اطلاعات خصوصی کاربر را سرقت کند.»

طراحان وبگاه ها باید برای بر طرف کردن آسیب پذیری ذکر شده، صفت «rel=noopener» را به تمام لینک هایی که از «target=_blank» استفاده می کنند اضافه کنند. اگرچه مرورگر فایرفاکس از صفت یاد شده پشتیبانی نکرده و برای رفع آسیب پذیری در این مرورگر باید از «rel=noopener noreferrer» استفاده شود.

منبع: سایبربان

DeMoN، Mr.p7700، faylor و 1 کاربر دیگر پسندیده اند

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری