يمكنك دائما أن تراسلنا بمواضيع من كتابتك او افكار او ملاحظات لنشرها علي المدونة من خلال الايميل : club4informatique@Gmail.Com

ثغرة أمنية خطيرة في نظام إعادة تعيين كلمة المرور في Gmail

ثغرة أمنية خطيرة في نظام إعادة تعيين كلمة المرور في GMAIL
ثغرة أمنية خطيرة في نظام إعادة تعيين كلمة المرور في GMAIL ,
اكتشف الباحث الأمني Oren Hafif ثغرة أمنية خطيرة في نظام إعادة تعيين كلمة المرور في حسابات قوقل تسمح للقراصنة بإختراق الحسابات بسهولة عبر صفحة و روابط ملغمة.

و ليثبت الباحث ثغرته قام بإختبارها مصوراً إياها حيث يرسل رسالة إلى بريد الضحية يقول فيها أنه لم يغير كلمة مرور حسابه منذ مدة طويلة، وحتى تتأكد الشركة أنه يملك الحساب يطلب منه في الرسالة الضغط على رابط ملغم.

وبعد الضغط على الرابط يتوجه المستخدم إلى صفحة مشفرة بعنوان رابط يعود إلى موقع قوقل هذا ما يبدو عليه الظاهر، لكن الواقع الفعلي أن الصفحة موجودة على موقع الضحية مع تزوير رابطها أي ما يعرف بـ cross site request forgery و اختصاراً CSRF ولاحظ أنه قبل الإنتقال إلى الصفحة من موقع قوقل يتم الإنتقال على صفحة من موقع وسيط آخر وهنا تتم عملية السرقة, وفي الصفحة يطلب من المستخدم كتابة آخر كلمة مرور يتذكرها وهناك زر للمتابعة، وبعد كتابة كلمة المرور والضغط على زر المتابعة يفاجئ المستخدم برسالة تفيد بأن كلمة مروره و بيانات ملف الكوكيز قد تمت سرقتها.

لكن لا تحاول أن تجرب هذه الثغرة الآن لأن Hafif أخبر مهندسي الأمن في قوقل عنها و قد تم سدها و حصل على مكافأة مالية ضمن برنامج مكافآت الثغرات بقيمة 5100 دولار.

ثغرة أمنية خطيرة في نظام إعادة تعيين كلمة المرور في GMAIL

ثغرة أمنية خطيرة في نظام إعادة تعيين كلمة المرور في GMAIL
ثغرة أمنية خطيرة في نظام إعادة تعيين كلمة المرور في GMAIL




في الأخير قامت شركة “جوجل” بإصلاح ثغرة في عملية استرجاع الحسابات وكلمات المرور الخاصة بخدمة البريد الإلكتروني التابعة لها “جيميل”، بعد أن كانت هذه الثغرة تسمح للمهاجم بخداع المستخدم للحصول على تفاصيل بيانات حسابه في الخدمة.

وقد قام باكتشاف هذه الثغرة المخترق الأخلاقي “أورن هفيف“، كما أكد “سبستيان روشكه” مهندس البرميجات لدى “جوجل”، أن هذه الثغرة تصنف ضمن الثغرات “مرتفعة التأثير”.

وقال روشكه ضمن حاسبه في “جوجل بلس”، شبكة التواصل الاجتماعي التابعة لـ “جوجل”، إنهم تلقوا الأسبوع الماضي أكثر من 20 ثغرة تتراوح في شدتها، ومن بينها الثغرة التي نشر هفيف تفاصيلها على مدونته الخاصة.

تجدر الإشارة إلى أن “جوجل” تسعى دائمًا لزيادة مقدار الأمان في استخدام خدماتها، حيث أعلنت بداية حزيران/يونيو الماضي أنها سترفع القيمة المالية للمكافآت التي تقوم بدفعها لمن يقوم بإبلاغ الشركة عن الثغرات الأمنية في خدماتها.

إذا أعـجـبـك الـمـوضــــوع لا تـبـخــــل علينـا بلايك و شير لتشجيعنا على تقديم الجديد :)
هل أعجبك الموضوع ؟


ضع تعليقك بشكل واضح واذا كان تعليقك عبارة عن استفسار فيرجي توضيحه واخذ بعض الوقت لكتابة المشكلة بوضوح حتي يتم الرد عليك

ليست هناك تعليقات:

إرسال تعليق

جميع الحقوق محفوظة لـ كلوب انفورماتيك ©2011-2015 | ، . Privacy-Policy | إتصل بنـا