سایر


2 دقیقه پیش

جمهوری آذربایجان با گرجستان و ترکیه مانور مشترک نظامی برگزار می کند

ایرنا/ جمهوری آذربایجان روز یکشنبه قبل از آغاز مذاکرات وین با حضور نمایندگان منطقه قره باغ کوهستانی، اعلان کرد که قصد دارد تمرین های نظامی با مشارکت گرجستان و ترکیه برگزار ...
2 دقیقه پیش

ژنرال فراری سوری از رژیم صهیونیستی درخواست کمک کرد

العالم/ ژنرال سابق و فراری ارتش سوریه که به صف مخالفان بشار اسد پیوسته، از رژیم صهیونیستی خواست که در مقابله با رییس جمهوری سوریه، مخالفان مسلح (تروریست ها)را یاری کند!.به ...



از هر ده وب سایت برتر، یکی از آن ها در معرض حملات XSS و CSRF هستند


از هر ده وب سایت برتر، یکی از آن ها در معرض حملات XSS و CSRF هستندشهر سخت افزار/ یکی از مهندسین موسسه CloudFlare متوجه شده است که ده درصد از یک میلیون وب سایت برتر در الکسا، از یک سیاست نادرست برای اشتراک گذاری منابع (CORS) استفاده می کنند که کاربران را در معرض سرقت اطلاعات قرار می دهد. در ادامه همراه ما باشید.

CORS مکانیزمی است که مواردی را که منابع سرور می تواند با بقیه دامین ها می تواند به اشتراک بگذارد را کنترل می کند. CORS بخش مهمی از SOP به معنی مجموعه کلی از رهنمودهایی است که هسته اصلی مدل امنیت وب هستند. SOP به صورت پیش فرض فونت ها و درخواست های AJAX را از دامین های اطراف ممنوع می کند. CORS راهی است برای توسعه دهندگان و ادمین های سرورها تا منابعی را که از دامین های دیگر قابل دسترس هستند، کنترل کنند.

این موضوع مشکلی ندارد تا زمانی که به دلایلی فنی برخی از این سایت ها باید قادر به اشتراک گذاری منابع با دیگر وب سایت ها باشند.

ایوان جانسون، دریافته است که بسیاری از وب سایت های رده بالا، این اجازه را می دهند تا منابع شان خارج از دامنه آن ها به اشتراک گذاشته شود. مشکل این است که استاندارد RFC که تنظمیات مناسب CORS را مشخص می کند، بسیار پیچیده و دشوار است و گاهی اوقات موجب سردرگمی توسعه دهندگان می شود. این مهندس CloudFlare با استفاده از یک اسکریپت ساده دسته ای، یک میلیون سایت برتر الکسا را اسکن کرده و دریافته است که بسیاری از آن ها دارای تنظیمات نامناسب CORS هستند و درست پیکربندی نشده اند.

این اشتباهات در پیکربندی باعث می شوند تا سایت ها نسبت به حملات XSS و CSRF آسیب پذیر شوند. در این صورت است که مهاجمان می توانند جزئیات اطلاعات شخصی کاربران را سرقت کنند و با ورود به حساب کاربری آن ها، اقدام به عملیات جعلی کنند.

در میان این وب سایت ها، می توان اسامی سایت های اپلیکیشن های سلامتی در موبایل، پورتال های پرداخت بانکی، پورتال های تجاری، سازندگان فروشگاه های آنلاین و بسیاری وب سایت های دیگر را دید. البته برخی از این وب سایت های کشف شده، قبلاً وارد لیست سیاه گوگل شده اند.

با کانال تلگرامی «آخرین خبر» همراه شوید

منبع: شهر سخت افزار


ویدیو مرتبط :
حملات Cross Site Request Forgery) CSRF)