مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

انتشار شده در تاریخ 1392/07/07 - 03:32

رفع خطای تزریق کد در تامبلر

به گفته‌ی یک محقق پرتغالی خطای تزریق کد مبتنی بر DOM در سرویس تامبلر وجود داشت که در ارسال هرزنامه، انتشار بدافزار و حملات فیشینگ قابل سوء‌استفاده بود.

موسسه خبری سایبربان:به گفته‌ی محقق پرتغالی به نام دیوید سوپَس یک خطای تزریق کد مبتنی بر DOM در سرویس تامبلر وجود داشت که در ارسال هرزنامه، انتشار بدافزار و حملات فیشینگ قابل سوء‌استفاده بود.

این آسیب‌پذیری که در assets.tumblr.com/assets/scripts/tumblelog_iframe.js وجود داشت، به سبب دو متغیری بود که به درستی بررسی نمی‌شدند. این خطای امنیتی حتی توسط مهاجم تأیید هویت نشده هم قابل استفاده است.

DOM-Based XSS2 که در برخی منابع از آن با نام تزریق کد نوع صفر یاد شده، حمله‌ی تزریق کدی است که در آن تابع حمله در نتیجه‌ی تغییر محیط DOM در مرورگر قربانی توسط اسکریپت سمت کاربر اجرا می‌شود. از این رو کد سمت سرویس‌گیرنده به صورت غیرمنتظره‌ای اجرا می‌شود. به این ترتیب صفحه به خودی خود تغییر نمی‌کند، بلکه کد سمت مشتری که در صفحه قرار دارد بر اساس تغییرات مخربی که در محیط DOM رخ می‌دهد، به طرز متفاوتی اجرا می‌گردد.

پیش‌تر آسیب‌پذیری‌های تزریق کد یا XSS در کد سمت کارگزاری صورت می‌گرفت که مسئول آماده‌سازی پاسخ HTML بود. اما در نوع مبتنی بر مدل شی‌گرای سند یا DOM-based تزریق کد در مراحل پردازش محتوا در سمت مشتری صورت می‌گیرد که عموماً هم جاوااسکریپت است.

چنانچه می‌دانید تامبلر بستر وب‌لاگ‌نویسی است که امکان انتشار مطالب، تصاویر، ویدئو، پیوند، نقل‌قول و صوت را در قالب یک وب‌لاگ کوچک برای کاربران فراهم می‌کند. ویژگی اصلی تامبلر سهولت استفاده و داشتن امکانات متفاوت برای کاربران است که باعث می‌شود آن‌ها بتوانند در قالب‌های مختلف پست‌های کوتاه خود را بیان کنند. این وب‌لاگ‌ها اصطلاحاً تامبلاگ نام دارند. تامبلر در اردی‌بهشت ماه سال جاری به مبلغ ١٫١ میلیارد دلار توسط شرکت یاهو خریداری شد.

به گفته‌ی سوپس این بستر وب‌لاگ‌نویسی محبوب که بیش از ۱۳۸٫۹ میلیون وب‌لاگ را میزبانی می‌کند دارای خطایی بود که سبب می‌شد فرد مخرب اقداماتی مثل سرقت اطلاعات محرمانه‌ی ورودی کاربر، انتشار بدافزار، ارسال هرزنامه و … را مرتکب شود. به این ترتیب این آسیب‌پذیری میلیون‌ها بازدید وب را در معرض خطر قرار می‌دهد.

این پژوهش‌گر پرتغالی افزود رفع این خطا بیش از دو ماه برای شرکت تامبلر زمان برده است و این شرکت پس از رفع خطا نیز وی را مطلع نساخته است.