رحيق البيلسان
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.
رحيق البيلسان

رحيق البيلسان : منتدى العلوم والهندسة والمعرفة منتدى رحيق العشق في مطلع الشعراء

  • الرئيسية
  • البوابة
  • أحدث الصور
  • التسجيل
  • دخول
اهلا وسهلا بكم في منتدى رحيق البيلسان :منتدى العلوم والمعرفة والادب والشعر والهندسة العامة وأتمنى لكم التوفيق ان شاء الله : مع تحيات المدير العام احمد دورين
السلام عليكم : الى كافة الاعضاء الكرام اذا تم اي مخالفة في منتدى رحيق البيلسان ارجو مراجعة الاادارة احمد التنجي على الرقم 0096170109497 وسيتم حذف العضوية المخالف فورا مع جزيل الشكر والاحترام

افتراضي الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة

رحيق البيلسان  :: قسم العلوم و التكنلوجيا

اذهب الى الأسفل

افتراضي الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة Empty افتراضي الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة

مُساهمة من طرف ahmad doren الإثنين 26 يوليو - 19:39



الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم
للسرقة

تم الإعلان عن وجود خلل أمني في التصميم في متصفح Safari للإصدارين 4.0 و
5.0 يسمح للمهاجم بالحصول على بيانات شخصية خاصة بالزائر مثل (الاسم،
العنوان،البريد الالكتروني، …)

افتراضي الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة Safari_hacked


المشكلة الأمنية تظهر في حال قيام مستخدم ما بزيارة موقع خبيث، حتى لو لم
يزره من قبل، ولم يدخل أي بيانات شخصية أيضاً، فيكون بمقدور الموقع كشف
اسمه الكامل، مكان العمل، المدينة، الولاية (في حال كونه في الولايات
المتحدة) بريده الالكتروني الشخصي!

يأتي متصفح Safari في الإصدارين 4.0 و 5.0 والذي يملك حوالي 4% من حصة
السوق (أي تقريباً 83 مليون مستخدم)، بميزة على المسار (Preferences >
AutoFill > AutoFill web forms) مفعّلة بشكل افتراضي.
افتراضي الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة Prefs


هذه الميزة “AutoFill” تقوم بملء حقول الإدخال النصية في صفحات HTML والتي
تحمل خصائص معينة مثل name, company, city, state, country, email, الخ.

مثال:




يتم ملء هذه الحقول باستخدام بيانات من سجل المستخدمين الخاص في دفتر
العناوين الخاص بنظام التشغيل المستخدم ومن المهم التذكير بأن هذه الخاصة
تعمل حتى لو لم يقم المستخدم بإدخال مثل هذه البيانات من قبل لأنها مختلفة
عن ميزة الإكمال التلقائي والتي يقوم المتصفح بتذكر بعض ما قمت بإدخاله
مؤخراً في بعض حقول الإدخال النصية في المواقع التي تستخدمها.

كل ما يحتاج إلى القيام به أي موقع خبيث لاستخراج هذه المعلومات بمعاونة
متصفح Safari هو أن يقوم بإنشاء نموذج (Form) إدخال كالمثال الذي ذكرناه،
حتى لو بشكل مخفي، ومن ثم “محاكاة” نقرات المفاتيح ضمنها لإيهام المتصفح
بأن المستخدم هو من يقوم بالنقر على لوحة المفاتيح. عندما يتم جلب البيانات
والتي يتم ملؤها بشكل آلي، يصبح بإمكان المهاجم الوصول إليها من خلال
إرسالها دون علم المستخدم إلى العنوان الذي يحدده في النموذج


قام Robert Hansen المعروف بـ “RSnake” أحد الخبراء المعروفين في عالم
الأمن (والذي بالتأكيد قرأتم شيئاً من كتاباته في موقع http://ha.ckers.org)
باستضافة دليل proof-of-concept على وجود المشكلة – لو كنت تود التجربة
والإطلاع وتقلق بشأن بياناتك تستطيع تغييرها قبل زيارة الموقع من خلال
Address Book كما تظهر الصورة

افتراضي الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة Address-book

وفقاً لما تذكره مدونة Jeremiah Grossman أحد الأسماء المعروفة أيضاً في
عالم أمن المعلومات فإنه من حسن الحظ أن أرقام الهاتف “لسبب ما” لا يتم
إظهارها بهذه الطريقة.

قمت بتجربة الدليل المنشور على موقع RSnake وفيما يلي صورة للنتائج

افتراضي الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة Autofill-poc

افتراضي الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة Autofill-poc

تجدر الإشارة إلى أنRobert Hansen قد قام بإبلاغ Apple حول المشكل لكن لم
يتلق سوى رد آلي على رسالته، و بعد عدم الحصول على أي رد على مراسلة ثانية
قرر الكشف عن الثغرة ليسمع صوته بشكل أفضل

للإطلاع على المزيد من المعلومات حول الخبر يمكن مراجعة التدوينة الأصلية.
ahmad doren
ahmad doren
Admin
Admin

عدد المساهمات : 2180
نقاط : 3131
تاريخ التسجيل : 29/12/2009
العمر : 43
الموقع : سوريا

http://doren.mountada.biz

الرجوع الى أعلى الصفحة اذهب الى الأسفل

الرجوع الى أعلى الصفحة

- مواضيع مماثلة

رحيق البيلسان  :: قسم العلوم و التكنلوجيا

 
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى