الصورة: Pexelsاكتشف باحثو أمن المعلومات ثغرة في الشبكة الاجتماعية Facebook - يمكن أن يؤدي هذا الخطأ إلى تسرب المعلومات السرية حول المستخدمين وأصدقائهم. تم الكشف عن خطأ في وظيفة بحث الشبكة الاجتماعية.
ما هي المشكلة
وفقًا للباحث Ron Masas من Imperva ، فإن الصفحة التي تعرض نتائج البحث تتضمن عناصر iFrame المتعلقة بنتائج البحث. عناوين URL النهائية لإطارات iFrames هذه ليست محمية بأي شكل من الأشكال من تزوير الطلبات عبر المواقع ، وهجمات CSRF).
لاستغلال ثغرة أمنية ، يحتاج المهاجم إلى خداع المستخدمين لزيارة موقع خاص. من المهم أن يقوم المستخدم بتسجيل الدخول إلى ملفه الشخصي على Facebook. أي نقرة على صفحة ويب في الخلفية ستنفذ شفرة JavaScript. يفتح هذا الرمز علامة تبويب جديدة بعنوان URL الخاص بـ Facebook ، حيث يتم تنفيذ طلب محدد مسبقًا من أجل الحصول على المعلومات اللازمة للمهاجم.
يمكن استخدام هذا الهجوم للبحث عن معلومات مثل "صورة من إجازة" ، واستخراج بيانات أكثر حساسية ، بما في ذلك:
- المستخدم لديه أصدقاء مع اسم أو كلمة رئيسية محددة في اسم ملف التعريف ؛
- الصفحات التي يحبها المستخدم والمجموعات التي ينتمي إليها ؛
- هل لديه أصدقاء يتابعون صفحة معينة؟
- وجود صور من مواقع أو دول معينة ؛
- ما إذا كان المستخدم قد نشر مشاركات تحتوي على كلمات رئيسية محددة
- هل لديه أصدقاء من دين معين؟
- الخ
وبالتالي ، فإن الثغرة تكشف عن بيانات المستخدم الحساسة حتى إذا قامت بتعيين إعدادات الخصوصية التي تحظر الكشف عن هذه المعلومات إلى الغرباء.
يمكن تكرار العملية عدة مرات دون الحاجة إلى فتح علامات تبويب جديدة. ونتيجة لذلك ، يشكل هذا الهجوم أكبر خطر على مستخدمي الهواتف المحمولة - حيث يصعب عليهم تتبع فتح علامات تبويب جديدة.
كيف تحمي نفسك
تحول الباحثون إلى Facebook ، وقد قامت الشركة بالفعل بإصلاح الضعف. أضاف مهندسو الشبكات الاجتماعية الحماية ضد هجمات CSRF.
عندما يتم تفعيل التطوير بسبب ارتفاع الطلب على الخدمات والمنتجات ، يقدم المزيد والمزيد من المطورين عمليات تكامل وتسليم مستمرة (CI / CD). يعد أمان البرنامج الذي يتم تطويره جزءًا لا يتجزأ من CI / CD. من المهم بشكل خاص تحديد نقاط الضعف والقضاء عليها بدقة. ومع ذلك ، في الممارسة العملية ، ليس كل شيء بهذه البساطة.
يعتقد كثير من الناس عن طريق الخطأ أن تحليل جودة الشفرة يكفي للتحقق من البرنامج ، بما في ذلك المخاطر الأمنية. وأولئك الذين يفهمون أن الأمر ليس كذلك ، ويلجأون إلى أدوات التحليل الأمني ، يواجهون مشكلة التحقق من الثغرات الأمنية. عادةً ما يتم إجراؤه يدويًا ، ومع الأخذ في الاعتبار حقيقة أن عدد الثغرات الأمنية يمكن أن يصل إلى مئات وآلاف الأشخاص ، فإن فعالية عملية CI / CD وجدوى دعمها تتحول إلى سؤال كبير.
يوم الخميس 22 نوفمبر الساعة 2:00 مساءً ، سيعقد أليكسي جوكوف ، الخبير في قسم أمن تطبيقات التقنيات الإيجابية ، ندوة مجانية عبر الإنترنت. ستتعلم في هذه الدورة كيفية التأكد من أن العيوب الأمنية في العمليات المستمرة والأحجام الكبيرة والمواعيد النهائية المحترقة لا تمر دون أن يلاحظها أحد وأن التحقق منها لا يصبح اختناقًا. سوف يتحدث أليكسي عن كيفية أتمتة عملية ضمان أمن البرامج بكفاءة وزيادة كفاءة أداء المهام الأساسية. سيكون البرنامج التعليمي على الويب مفيدًا للمطورين والمتخصصين في DevOps.
للمشاركة في الندوة عبر الإنترنت ، تحتاج إلى التسجيل .