محبوبترینها
ساندویچ پانل: بهترین گزینه برای ساخت و ساز سریع
خرید بیمه، استعلام و مقایسه انواع بیمه درمان ✅?
پروازهای مشهد به دبی چه زمانی ارزان میشوند؟
تجربه غذاهای فرانسوی در قلب پاریس بهترین رستورانها و کافهها
دلایل زنگ زدن فلزات و روش های جلوگیری از آن
خرید بلیط چارتر هواپیمایی ماهان _ ماهان گشت
سیگنال در ترید چیست؟ بررسی انواع سیگنال در ترید
بهترین هدیه تولد برای متولدین زمستان: هدیههای کاربردی برای روزهای سرد
در خرید پارچه برزنتی به چه نکاتی باید توجه کنیم؟
سه برند برتر کلید و پریز خارجی، لگراند، ویکو و اشنایدر
مراحل قانونی انحصار وراثت در یک نگاه: از کجا شروع کنیم؟
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1825069889
آسیبپذیری خطرناک در سرور مدیریتی گوگل و یاهو
واضح آرشیو وب فارسی:جام نیوز:
حمله به اطلاعات کاربران؛
آسیبپذیری خطرناک در سرور مدیریتی گوگل و یاهو
این آسیب پذیری امکان نفوذ به هویت کاربران گوگل و یاهو را افزایش میدهد.
به گزارش سرویس علمی جام نیوز به نقل ازمهر، مرکز ماهر از آسیب پذیری خطرناک در سرور مدیریت محتوای کمپانیهایی چون گوگل، یاهو و مایکروسافت خبر داد که احتمال جعل هویت کاربران این کمپانی ها را به همراه خواهد داشت. از مرکز ماهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای - ماهر- از بروز آسیب پذیری خطرناک در سیستم مدیریت محتوای «دروپال» خبر داده که مربوط به ماژول OpenID در هسته این سیستم مدیریت محتوا بوده و به شخص حمله کننده اجازه ورود به سیستم را با نام کاربری سایر کاربران، از جمله مدیر سایت می دهد. این آسیب پذیری در وهله اول کاربران سایت را تهدید می کند و به صورت مستقیم تهدیدی علیه سرور محسوب نمی شود. اطلاعات عمومی آسیب پذیری آسیب پذیری در ماژول OpenID در هسته سیستم مدیریت محتوای Drupal به شخص حمله کننده اجازه ورود به سیستم را با نام کاربری سایر کاربران، از جمله مدیر سایت می دهد. فردی که مورد نفوذ قرار می گیرد باید با استفاده از سیستم OpenID وارد سایت شده باشد. همین امر باعث می شود که با وجود خطرناک بودن این آسیب پذیری و طیف وسیعی از نسخه های آسیب پذیر، تعداد کمی از سایت های استفاده کننده از سیستم Drupal در خطر باشند. این آسیب پذیری دارای شناسه CVE-2015-3234 و شامل نسخه های ۶.X تا ۶.۳۵ و ۷.X تا ۷.۳۷ است. openID چیست ؟
OpenIDکه به اختصار OID نیز نامیده می شود یک استاندارد باز و پروتکل غیر متمرکز از بنیاد غیر انتفاعی OpenID Foundation است که به کاربران امکان احراز هویت را با استفاده از سایت هایی که با این سیستم همکاری دارند می دهد. در این روش ارائه دهنده openID که به اختصار OP - OpenID Provider - نامیده می شود یک URL در اختیار کاربر قرار می دهد؛ با استفاده از تبادل URL بین کاربر نهایی و سایت پشتیبانی کننده RP یا Relying Party ،تصدیق هویت بین RP و OP انجام می پذیرد. به زبان ساده تر OpenID یک تکنولوژی است که به کاربران اجازه می دهد با یک بار ساخت اکانت در سایت های ارائه دهنده این سرویس، به تمامی سایت هایی که از این سیستم پشتیبانی می کنند وارد شود. در حال حاضر کمپانی های بسیاری از جمله گوگل، یاهو، مایکروسافت، AOL و Paypal به عنوان یک OpenID Provider سرویس OpenID را به کاربران ارائه می دهند. توضیحات فنی این آسیب پذیری در این آسیب پذیری شخص نفوذگر از یکی از کمپانی های ارائه دهنده این سرویس، امکان جعل هویت خواهد داشت. در واقع بعد از یک حمله موفق، نتیجه نهایی، شکلی همانند حملات هایجک - Session Hijacking - خواهد داشت. در صورت موفقیت این حمله، شخص نفوذگر در ابتدا با OpenID خود، معتبر شناخته می شود اما در هنگام بازگشت پاسخ به سمت سیستم Drupal ، با ایجاد تغییر در پاسخ، مقدار مربوط به OpenID هر کاربر دیگر سایت (از جمله مدیر سایت) را در پاسخ قرار می دهد؛ اما سیستم Drupal این تغییر را متوجه می شود و درصدد رفع این مغایرت برمی آید. ایراد اصلی کدنویسی در همین بخش سیستم است. سیستم فقط حالت خاصی را به منظور کشف تغییر بررسی می کند و با توجه به کامل نبودن این بررسی به اشتباه با یک درخواست از OP ، تمامی مشخصات مربوط به کاربری که مورد نفوذ قرار می گیرد را دریافت می کند و در اختیار شخص نفوذگر قرار می دهد؛ در واقع سرور محتوا به جای اینکه مشخصات مربوط به نفوذگر را دریافت کند، به اشتباه مشخصات شخصی را که مورد حمله قرار گرفته است دریافت می کند. این آسیب پذیری باعث می شود هویت شخص نفوذگر به هویت شخص هدف تغییر پیدا می کند. سرویس ها را آپدیت کنید بهترین روش برای رفع این آسیب پذیری، به روزرسانی - آپدیت - نسخه های آسیب پذیر به آخرین نسخه ( ۶.۳۶ یا ۷.۳۸ ) است؛ راه دیگر جایگزینی فایل های openid.module در پوشه /modules/openid/ و openid_test.module در پوشه /modules/openid/tests/ با فایل های موجود در نسخه ۷.۳۸ یا ۶.۳۶ است. هرچند فایل های تست در این آسیب پذیری نقش مستقیم نداشته و تغییر فایل openid.module در فولدر /modules/openid/ به تنهایی نیز برای رفع آسیب پذیری کفایت می کند. هایجک نوعی از حملات ضد امنیتی در شبکه محسوب می شود به نحوی که در آن، حمله کننده ارتباط را در دست می گیرد؛ این به این معنی است که در حالی که قربانی، ارتباط خود را با جایی برقرار کرده و در حال انجام کار خود است حمله کننده کنترل این ارتباط را در دست می گیرد و مانع از رسیدن پیغام ها می شود و در عوض پیغام خود را برای طرفین می فرستد اما دو طرف گمان می کنند که مستقیما با هم در ارتباط هستند . 2018
۱۶/۰۴/۱۳۹۴ - ۱۳:۳۳
این صفحه را در گوگل محبوب کنید
[ارسال شده از: جام نیوز]
[مشاهده در: www.jamnews.ir]
[تعداد بازديد از اين مطلب: 17]
صفحات پیشنهادی
آسیبپذیری خطرناک در سرور مدیریتی گوگل، یاهو و مایکروسافت
مرکز ماهر خبر داد آسیبپذیری خطرناک در سرور مدیریتی گوگل یاهو و مایکروسافت مرکز ماهر از آسیب پذیری خطرناک در سرور مدیریت محتوای کمپانیهایی چون گوگل یاهو و مایکروسافت خبر داد که احتمال جعل هویت کاربران این کمپانی ها را به همراه خواهد داشت به گزارش سرویس علمی جام نیوز به نقل انتانیاهو مدعی شد: ایران از داعش خطرناکتر است
نتانیاهو مدعی شد ایران از داعش خطرناکتر است نخست وزیر رژیم صهیونیستی مدعی شد خطر ایران از داعش به مراتب بالاتر است زیرا این کشور وسعت و قدرت بیشتری دارد به گزارش گروه بینالملل باشگاه خبرنگاران به نقل از پایگاه صهیونیستی هافینگتنپست بنیامین نتانیاهو نخست وزهمکاری گوگل و یاهو برای توسعه دنیای جستوجو
همکاری گوگل و یاهو برای توسعه دنیای جستوجو دو غول دره سیلیکون کالیفرنیا اخیرا از برقراری خط همکاری مشترک بر روی توسعه ظرفیت های تبلیغاتی فزاینده در بازار فرا روی موتورهای جست وجو خبر دادند برترین ها - علی محمد آقازمانی یاهو غول دنیای اینترنت در تلاش است تا با استفاده از تواننتانیاهو مدعی شد: ایران از داعش خطرناکتر است!
نتانیاهو مدعی شد ایران از داعش خطرناکتر است نخست وزیر رژیم صهیونیستی مدعی شد خطر ایران از داعش به مراتب بالاتر است زیرا این کشور وسعت و قدرت بیشتری دارد جوان آنلاين بنیامین نتانیاهو نخست وزیر رژیم صهیونیستی با نزدیک شدن به امضای توافق جامع هستهای ایران و گروه 1 5 مدعی شاستفاده آزمایشی یاهو از خدمات جستجوی گوگل
استفاده آزمایشی یاهو از خدمات جستجوی گوگلیاهو قصد دارد به طور آزمایشی از خدمات جستجوی گوگل بهره بگیرد امری که نشان دهنده تغییرات جدید در این شرکت اینترنتی است به گزارش فارس به نقل از نیوزفاکتور یاهو با صدور بیانیهای تایید کرده که در حال حاضر به طور آزمایشی از نتایج جستجوخودروهای بدون راننده گوگل راهی خیابانها شدند
خودروهای بدون راننده گوگل راهی خیابانها شدند شناسهٔ خبر 2789153 - یکشنبه ۷ تیر ۱۳۹۴ - ۱۲ ۱۰ دانش و فناوری > فناوری های نوین خودروهای بدون راننده گوگل راهی خیابانها شدند تا یکی از هیجان انگیزترین ایده های یک قرن اخیر رنگ واقعیت به خود بگیرد به گزارش خبرگزاری مهر گوگل به تازگکاریکاتور/ کابوس و جنون نتانیاهو...
تراز کابوس توافق هستهای بین جمهوری اسلامی ایران و گروه ۱ ۵ نتانیاهو نخست وزیر رژیم صهیونیستی را به مرز جنون رسانده و او در آستانه امضای این توافق تهدیدهای علیه ایران را دیوانه وار تکرار میکند زمانبندی انتشار 7 تير 1394 - 12 24بنیانگذار گوگل از همسرش طلاق گرفت
بنیانگذار گوگل از همسرش طلاق گرفت وجیکی و برین پیش از ازدواج توافقنامه ای را در زمینه نحوه تقسیم اموال امضا کرده و روی مبلغ نامشخصی پول توافق کرده اند و از این رو جدایی آنها تاثیر چندانی روی گوگل نمیگذارد میزان داراییهای سرگئی برین 30 میلیارد دلار تخمین زده میشود آفتاب سرگئکمبود آب، خطرناکترین بحران خراسان رضوی
یکشنبه ۷ تیر ۱۳۹۴ - ۱۲ ۱۵ مدیر عامل جمعیت ناجیان آب گفت فاجعهای خطرناکتر از کمبود آب در استان وجود ندارد به گزارش خبرنگار خبرگزاری دانشجویان ایران ایسنا -منطقه خراسان مهدی جمشیدی شامگاه گذشته 6 تیرماه در نشست ماهانه کمیابی آب و تهدیدات امنیتی که توسط انجمن علوم سیاسی ایرانحضور یک شرکت خودروسازی در رقابت کاوشگر ماه گوگل
یکشنبه ۷ تیر ۱۳۹۴ - ۱۲ ۱۶ یک شرکت خودروسازی آلمانی به نام آئودی با همکاری یک شرکت دیگر به دنبال حضور در رقابت کاوشگر ماه تحت عنوان Lunar XPrize است که شرکت گوگل از آن پشتیبانی مالی میکند به گزارش سرویس فناوری ایسنا جایزه 30 میلیون دلاری این رقابت به تیمی تعلق میگیرد که بتوامدیر امنیتی یاهو به فیس بوک پیوست
مدیر امنیتی یاهو به فیس بوک پیوستالکس استاموس مدیر امور امنیتی و حریم شخصی شرکت یاهو اعلام کرده که قصد دارد به عنوان رییس امور امنیتی به فیس بوک بپیوندد به گزارش فارس به نقل از وی تری وی عملکرد یاهو در حوزه امنیت را درخشان توصیف کرده و افزوده که فیس بوک قصد دارد با مشکلات امنیپومیس، خطرناکتر از پالم
پومیس خطرناکتر از پالم به گفته مدیرکل نظارت بر فراورده های غذایی آرایشی و بهداشتی سازمان غذا و دارو مصرفکنندگان باید نسبت به مضرات استفاده از این فراورده آگاه باشند و در هر بسته بندی که به یکی از نام های مذکور برخوردند از خرید آن اجتناب کنند و موضوع را به نزدیک ترین معاونتپرخرجترین و خطرناکترین سبیل دنیا +عکس
پرخرجترین و خطرناکترین سبیل دنیا عکس روزنامه ایندیپندنت گزارشی درباره خطرناکترین و پرهزینهترین سبیل دنیا که دارنده آن بارها ربوده یا تهدید به مرگ شده یا برای مدتی از انظار عمومی مخفی شده بود منتشر کرد باشگاه خبرنگاران روزنامه ایندیپندنت گزارشی درباره خطرناکترین و پرهخودروهای بدون راننده گوگل راهی خیابانها شدند / عکس
خودروهای بدون راننده گوگل راهی خیابانها شدند عکس فناوری اطلاعات > ارتباطات - خودروهای بدون راننده گوگل راهی خیابانها شدند تا یکی از هیجان انگیزترین ایده های یک قرن اخیر رنگ واقعیت به خود بگیرد به گزارش خبرگزاری مهر گوگل به تازگی خودروهای بدون راننده خود را راهی خهمسفری آئودی و گوگل در ماه +تصاویر
مسابقه Lunar Xprize همسفری آئودی و گوگل در ماه تصاویر شرکت گوگل در سال ۲۰۰۷ مسابقهای با نام Lunar Xprize را برای رقابت در سفر به ماه آغاز کرد اکنون شرکت آئودی با پیوستن به این رقابت هیجان آن را به بالاترین سطح ممکن رسانده است به گزارش سرویس کشکول جام نیوز گوگل مدتی قبل برااستاندار سیستان و بلوچستان: 60 خانم در پستهای مدیریتی سیستان و بلوچستان منصوب شدهاند
استاندار سیستان و بلوچستان 60 خانم در پستهای مدیریتی سیستان و بلوچستان منصوب شدهانداستاندار سیستان و بلوچستان گفت با وجود همه تبلیغات منفی و بزرگنمایی محرومیتها تاکنون 60 خانم در پستهای مدیریتی استان منصوب شدهاند که هنوز ابتدای کار هستیم به گزارش خبرگزاری فارس از زاهدان بفیلم/ ورود اولین خودروی گوگل به خیابانهای امریکا
فیلم ورود اولین خودروی گوگل به خیابانهای امریکا شناسهٔ خبر 2788974 - یکشنبه ۷ تیر ۱۳۹۴ - ۱۴ ۲۳ دانش و فناوری > فناوری های نوین دریافت 68 MB گوگل آزمایش و بررسی بر خودروی بدون سرنشینش را در خیابان های امریکا آغاز کرده تا بتواند نگاه مخاطبان خود را برای ورود این خودرو آماده ک-
گوناگون
پربازدیدترینها