Security News : اخبار و هشدارهاي امنيتي

[tanha.2011]

تعدادی از هکرهای برزیلی که قصد داشتند برای انتقام‌گیری از آژانس امنیت ملی آمریکا سایت آن را ه.ک کنند، به اشتباه به سایت ناسا حمله کردند!



به گزارش فارس به نقل از تلگراف، به دنبال افشاگری‌های ادوارد اسنودن در مورد جاسوسی آژانس امنیت ملی آمریکا از رییس جمهور برزیل و همین طور شرکت های بزرگ در این کشور عده ای از هکرهای برزیلی به فکر تلافی و انتقام گیری افتاده و تصمیم گرفتند وب سایت آژانس امنیت ملی آمریکا یا همان NSA را -- کنند، اما آنها این سایت را با سایت سازمان فضایی آمریکا یا همان NASA اشتباه گرفتند.

این هکرها وقتی وب سایت ناسا را ه.ک کردند در آن نوشتند: جاسوسی از ما را متوقف کنید. آنها همچنین از آمریکا خواستند به سوریه حمله نکند. یک سخنگوی ناسا حمله گروه هکری برزیل به وب سایت این سازمان را که هفته گذشته روی داده، تایید کرده است. وی افزوده که این حمله هکری منجر به افشای اطلاعات محرمانه ناسا نشده است.

افشای این جاسوسی با واکنش تند رییس جمهور برزیل نیز مواجه شده و وی سفر برنامه ریزی شده خود به واشنگتن و دیدار با اواباما را به همین علت به تعویق انداخته است.

[tanha.2011]

ایتنا - بسیاری از کاربران که طی روزهای نخستین سیستم‌عامل دستگاه موبایلی خود را به iOS 7 ارتقا دادند این حفره را شناسایی کرده‌اند.



آخرین نسخه از سیستم‌عامل همراه اپل موسوم به iOS 7 که هم‌اکنون برای نسخه‌های مختلف گوشی هوشمند آیفون و رایانه لوحی iPad عرضه شده است، حفره امنیتی خطرناکی دارد که می‌تواند دسترسی همه کاربران به این دستگاه‌ها را فراهم کند.


به گزارش ایتنا، بسیاری از کاربران که طی روزهای نخستین سیستم‌عامل دستگاه موبایلی خود را به iOS 7 ارتقا دادند این حفره را شناسایی کرده‌اند.

این حفره به‌گونه‌ای است که اگر کلید قفل روی نمایشگر را به سمت بالا حرکت دهید، دسترسی شما به مرکز کنترل گوشی فراهم می‌شود و می‌توانید کنترل سیستم تنظیم ساعت هشدار دهنده را نیز در دست بگیرید.

در این بخش شما همچنین کلید خاموش/روشن را نیز در اختیار دارید و می‌توانید گوشی را خاموش کنید.
این حفره امنیتی همچنین امکان می‌دهد که اگر روی کلید سخت‌افزاری Home دو بار کلیک کنید، امکان ورود به بخش اجرای چند برنامه به صورت همزمان برای شما فراهم می‌شود و به عبارت دیگر به همه بخش‌های گوشی دسترسی پیدا می‌کنید.

البته کارشناسان امنیتی می‌گویند که برای بهره‌مندی از این حفره امنیتی کلید Home باید دو بار کوتاه فشار داده شود و اگر آن را طولانی مدت فشار دهید، عکس‌العملی نشان نمی‌دهد.

یکی از سخنگویان شرکت اپل ضمن تایید این خبر توضیح داد که در نسخه به‌روزرسان بعدی این مشکل به طور کامل برطرف خواهد شد.

[VAHID]

ایتنا - مقام قضایی به فروشندگان توصیه کرده است برای پیشگیری از وقوع جرم، هنگام وارد کردن رمز، دستگاه کارتخوان را در اختیار مشتری قرار دهند اما هنگام دریافت رسید از مشتریان به ساعت و تاریخ دریافت رسید با دقت توجه کنند تا مورد اغفال واقع نشوند.


جوان ۲۳ ساله‌ای که متهم است با ترفندی خاص میلیون‌ها تومان از نمایندگی فروش خودرو، صاحبان نمایشگاه‌های خودرو، فروشندگان تلفن همراه و حتی خواربارفروشی‌ها در شهرهای مختلف کلاهبرداری کرده است با وجود گذشت ۷ تن از شاکیانش، به تحمل ۴ سال زندان و پرداخت جزای نقدی سنگین در حق دولت محکوم شد و در بررسی‌های قضایی و پلیسی از شیوه جدید این کلاهبرداری پرده‌برداری شد.

ماجرای دستگیری این فرد که به کلاهبردار بی‌نقاب معروف شد هنگامی در دستور کار نیروهای انتظامی قرار گرفت که نماینده یکی از خودروسازان بزرگ کشور با تسلیم شکوائیه‌ای به دستگاه قضایی اعلام کرد: چندی قبل جوانی با ظاهری آراسته به نمایندگی مراجعه کرد و قیمت یک دستگاه خودرو پژو ۴۰۵ را پرسید. وقتی بهای خودرو را به او گفتیم اجازه خواست تا از دستگاه کارتخوان موجودی حسابش را بگیرد.
شاکی پرونده ادامه داد: جوان مذکور پرینت حسابش را از دستگاه دریافت کرد و از نمایندگی بیرون رفت اما روز بعد دوباره مراجعه کرد و خودروی مذکور را خرید. سپس خواست تا وجه خودرو را از طریق دستگاه کارتخوان پرداخت کند ولی بعد از تحویل خودرو متوجه شدیم که پولی به حساب شرکت واریز نشده است و رسید دستگاه کارتخوان جعلی است.

گزارش خراسان حاکی است: در پی اعلام این شکایت، موضوع از طریق کارآگاهان پلیس آگاهی در دستور کار قرار گرفت اما مدتی بعد شکایت‌های مشابهی در شهرهای تربت جام، تربت حیدریه، فریمان و مشهد مطرح شد که نشان می‌داد متهم مذکور با شگرد و ترفندی خاص پرینت دستگاه‌های کارتخوان را جعل و اقدام به کلاهبرداری می‌کند.

او خودروهای دیگری مانند سمند و سوناتا را نیز با همین شیوه خریداری و از فروشگاه‌های دیگری مانند فروشگاه‌های تلفن همراه کلاهبرداری کرده است بنابراین با تجمیع پرونده‌های مذکور در شعبه ۸۱۱ بازپرسی مشهد، و دستورات مقام قضایی، تلاش‌های گسترده‌ای برای ردیابی جوان شیک‌پوش که به کلاهبردار بی‌نقاب معروف شد ادامه یافت تا این که مدتی قبل، مأموران انتظامی با انجام یک سری فعالیت‌های پلیسی و اطلاعاتی موفق شدند با ردیابی سیستم بانکی او را دستگیر کنند.
در بازرسی از منزل متهم نیز، آلات و ادوات مربوط به جعل پرینت کشف شد و او مورد بازجویی قرار گرفت.

بررسی‌های پلیس بیانگر آن بود که جوان شیک پوش پس از شناسایی مراکز معتبر تجاری وارد فروشگاه و یا نمایندگی می‌شد و برای به دست آوردن مشخصات بانکی دستگاه کارتخوان فروشنده، از وی اجازه می‌گرفت تا موجودی حسابش را از طریق دستگاه کارتخوان بگیرد.
کلاهبردار مذکور سپس رسید دریافت شده را با خود می‌برد و با کاغذهای ویژه رسید دستگاه، که از بانک محل حساب فروشنده دریافت کرده بود اقدام به اسکن و جعل مبلغ عنوان شده توسط فروشنده، می‌کرد. این فرد روز بعد در حالی که رسید جعلی دستگاه کارتخوان را با مبلغ درج شده مذکور در دست داشت دوباره به همان فروشگاه مراجعه می‌کرد و کالا یا خودرویی را که روز گذشته قیمت آن را پرسیده بود می‌خرید.
او سپس برای فریب فروشنده از وی می‌خواست تا دستگاه کارتخوان را برای وارد کردن رمز و پرداخت وجه در اختیارش قرار دهد. این جوان در ادامه با واریز مبلغ اندکی به حساب فروشنده در مقابل چشمان وی رسید را از دستگاه دریافت و در یک لحظه آن را با رسید جعلی که در دست داشت عوض می‌کرد. فروشنده نیز با دیدن مشخصات فروشگاه و بانک طرف حساب خود بر روی رسید، کالا را تحویل وی می‌داد اما پس از گذشت مدتی و با بررسی موجودی حساب خود پی به کلاهبرداری می‌برد.

پس از تکمیل تحقیقات و اعترافات متهم، قرار مجرمیت وی از سوی مقام قضایی صادر شد و این پرونده با توجه به اهمیت موضوع در شعبه ۱۳۴ دادگاه عمومی و جزایی مشهد توسط یکی از قضات باتجربه دادگستری مورد رسیدگی قرار گرفت.
قاضی جواد شاکری پس از برگزاری چندین جلسه دادگاه به اتهام کلاهبرداری با جعل اسناد، اتهام وی را محرز دانست. رئیس دادگاه با توجه به محتویات پرونده، گزارش مأموران انتظامی، اقاریر متهم و همچنین اسناد و دلایل محکمه پسند، وی را به تحمل ۴ سال زندان و پرداخت جزای نقدی سنگین در حق دولت و رد مال محکوم کرد.

به گزارش خراسان این در حالی بود که کلاهبردار بی‌نقاب در اثنای دستگیری قضایی به پرونده اتهامی خود، موفق شده بود رضایت ۷ تن از ۸ شاکی خود را جلب کند و در رأی صادره از سوی قاضی شاکری به بانک‌ها نیز تذکر داده شده است که رول‌های دستگاه کارتخوان را در اختیار مراجعه کنندگانی که هویت آنان در ارتباط با استفاده از دستگاه‌های مذکور مشخص نیست قرار ندهند و کاغذهای رسید این گونه دستگاه‌ها را حتماً با احراز هویت فروشندگان و دارندگان این دستگاه‌ها، در اختیار افراد قرار دهند. این مقام قضایی در عین حال به فروشندگان و نمایندگان رسمی شرکت‌ها نیز توصیه کرده است برای پیشگیری از وقوع جرم، هنگام وارد کردن رمز، دستگاه کارتخوان را در اختیار مشتری قرار دهند اما هنگام دریافت رسید از مشتریان به ساعت و تاریخ دریافت رسید با دقت توجه کنند تا مورد اغفال واقع نشوند.

[tanha.2011]

ایتنا- پس از ه.ک شدن اطلاعات و از بین رفتن آنها، به سختی می‌توان آنها را بازگرداند.


مطالعه جدید مرکز Kaspersky Lab نشان داد، حدود ۵۶ درصد کاربران بر این باورند که ارزش و اهمیت اطلاعات نسبت به دستگاه‌های الکترونیکی و رایانه‌هایی که اطلاعات روی آن‌ها ذخیره شده، بیشتر است.


به گزارش ایتنا از فارس به نقل از سلولار – نیوز، مرکز تولیدکننده ابزارهای امنیتی Kaspersky Lab در یک مطالعه بین‌المللی روی کاربران همچنین دریافت که از هر ۱۰ کاربر یک نفر یک کارشناس خارجی در اختیار می‌گیرد تا اطلاعات از دست رفته خود طی حملات سایبری و اینترنتی را بازیابی کند.

با این وجود، اطلاعات مفقود شده معمولا به سختی بازگردانده می‌شوند. مطالعه مرکز Kaspersky نشان داد که در طول حملات سایبری بیش از ۶۰ درصد قربانیان قادر نخواهند بود تمام اطلاعات نابود شده را بازیابی کنند.

همچنین مشخص شده است که در هر ۵ حمله اینترنتی مبتنی بر بدافزارها یک حمله با موفقیت به اطلاعات کاربران دسترسی پیدا کرده و آن‌ها را سرقت می‌کند و یا به آن‌ها آسیب می‌زند و در این شرایط کاربران نمی‌توانند برای بازیابی اطلاعات خود اقدامی انجام دهند.

طبق آمار موجود، در ۱۷ درصد حملات مبتنی بر بدافزارها اطلاعات شخصی قربانیان به گونه‌ای از بین می‌رود که هیچ راهی برای بازگرداندن آن‌ها وجود ندارد. همچنین، در ۴۴ درصد موارد کاربر قادر است بخشی از اطلاعات خود را بازگرداند.

[tanha.2011]

ایتنا- فوتبال ورزش جذابی است و سایت‌های شرط‌بندی نیز می‌توانند از همین جذابیت برای کلاهبرداری از کاربران استفاده کنند.



رئيس پليس فتا استان خراسان شمالی هشدار داد: شهروندان مراقب سايت های شرط بندی در ليگ فوتبال باشند

به گزارش ایتنا از فتا، رئیس پلیس فتا خراسان شمالی با اعلام این خبر افزود: وب‌سایت های شرط بندی با توجه به اینکه در فضای سایبر زمینه فعالیت بیشتری دارند در سال‌های اخیر رشد چشمگیری داشته‌اند.

وی با اشاره به اینکه این سایت‌ها معمولا یا از کاربران خود کلاهبرداری کرده یا آن‌ها را وارد قماربازی می‌کنند، تصریح کرد: مدیران برخی از این سایت‌ها با استفاده از روش‌هایی اقدام به کلاهبرداری کرده و یا وضعیت سایت را به گونه‌ای رقم می‌زنند که افراد مرتبط با خودشان در قرعه کشی‌ها و شرط بندی‌ها برنده شوند.

رئیس پلیس فتا فرماندهی انتظامی خراسان شمالی در ادامه بیان داشت: عده‌ای نیز با ایجاد حساب کاربری اقدام به شرط‌بندی می‌کنند که این موضوع بر اساس ماده‌های ۷۰۵ ، ۷۰۸ و ۷۱۰ قانون مجازات اسلامی از مصادیق قمار است و این مراکز به عنوان قمارخانه فعالیت می‌کنند.

وی همچنین خاطرنشان کرد: پلیس فتا بر اساس ماده ۵۲ قانون جرایم رایانه‌ای می تواند با قمارخانه‌های اینترنتی برخورد کند و دست پلیس در این رابطه باز است و امکان رسیدگی وجود دارد.

این مقام انتظامی اضافه کرد: پلیس فتا به مردم در خصوص اعتماد نکردن به سایت‌های شرط بندی به ویژه وب‌سایت‌های فعال در زمینه فوتبال توصیه می‌نماید که فعالیت این سایتها عمدتا به عنوان مصادیق قمار شناخته شده یا پس از مدتی در آنها کلاهبرداری می شود.

رئیس پلیس فتا فرماندهی انتظامی خراسان شمالی افزود: گردانندگان این وب‌سایت ها طبق قانون مرتکب جرم شده‌اند و پلیس با آنها برخورد می کند.

وی در پایان تاکیدکرد: از مردم می‌خواهیم اگر با چنین سایت هایی روبرو شدند یا تبلیغ آن را به صورت پیامک دریافت کردند به آدرس اینترنتی [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] بخش"'گزارش وب‌سایت‌های اینترنتی متخلف" مراجعه کنند.

[tanha.2011]

ایتنا- متهم، تصاویر را از مموری کارت کپی کرده و اقدام به پخش آنها در فیس‌بوک کرده بود.



رئیس پلیس فضای تولید و تبادل اطلاعات فرماندهی انتظامی مازندران از شناسائی و دستگیری عامل تهیه و انتشار تصاویر شخصی افراد در سایت‌های اینترنتی خبر داد.

به گزارش ایتنا از فتا،‌ رئیس پلیس فتا استان مازندران گفت: پیرو شکایت یکی از شهروندان مبنی بر هتک حیثیت و نشر اکاذیب در فضای مجازی از سوی فردی ناشناس بر علیه خانواده‌اش در یکی از شبکه‌های اجتماعی و ایجاد القاب بسیار زشت و طراحی تصاویری مستهجن، موضوع به طور ویژه دردستور کار مأموران و کارشناسان این پلیس قرار گرفت.

وی تصریح کرد: مأموران با انجام اقدامات اطلاعاتی و استفاده از تجهیزات فنی و پلیسی موفق شدند، فردی را به اتهام دسترسی غیر مجاز به اطلاعات شخصی افراد وانتشار آن در فضای مجاری شناسائی کردند.

وی اظهار داشت: مأموران با تعقیب و مراقبت از این فرد پس از شناسائی محل سکونت وی با هماهنگی قضائی در اقدامی غافلگیرانه این فرد را دستگیر کردند.

این مقام انتظامی افزود: متهم در تحقیقات و بازجوئی‌های فنی پلیس ضمن اعتراف به بزه انتسابی اظهار داشت، تصاویر و فیلم‌ها را از حافظه مموری کارت و دوربین دیجیتال شاکی که بر روی رایانه شخصی‌اش کپی شده بود، به دست آورده و پس از تبدیل آن به عکس و فیلم‌های مستهجن در سایت فیس‌بوک منتشر کرده‌است.

رئیس پلیس فتای استان مازندران در پایان با هشدار به شهروندان از آنان خواست: مراقب عکس و فیلم‌های شخصی و خانوادگی خود باشند و برای کپی و تکثیر کردن آن به هر فردی اطمینان نکنند.

[tanha.2011]

ایتنا- استفاده روز افزون کاربران از برنامه‌های کاربردی تحت وب، پتانسیل پرخطرِ بسیاری را از شبکه اینترنت به سمت کاربران آن سوق می‌دهد.


در شماره گذشته، موضوع شناخت روش‌های نفوذ و حمله مهاجمان به برنامه‌های تحت وب را آغاز نموده و حمله ردپا، حمله به سرورهای وب و حمله تحلیلِ نرم‌افزارهای تحت وب را معرفی نمودیم. در این شماره به بحث درباره سایر روش‌ها پرداخته و آنها را بررسی می‌نماییم. یکی از مهمترین این حملات به واسطه درهم شکستن سازوکار احراز اصالت انجام می‌گیرد.


حمله به سازوکار احراز اصالت
سازوکار احراز اصالت روشی است که به کمک آن هویت طرف مقابل یک ارتباط شناسایی می‌گردد. مهاجم می‌توانند از شیوه طراحی و نیز معایب پیاده‌سازی این سازوکار در برنامه‌های کاربردی وب، از قبیل نارسایی نحوه بررسی و استحکام رمز عبور و یا انتقال ناامن گواهی نامه‌ها استفاده نماید.

الف - تعیین نام کاربری
یک روش برای حمله به سازوکار احراز اصالت، تعیین نام کاربری قربانی بصورت فهرست‌نویسی، توسط مهاجم است. در صورتی که برای ورود به سیستم به دلیل رخداد خطا در وارد نمودن قسمتی از نام کاربری یا رمز عبور پیام خطا اعلام شود، نام کاربری و رمز عبور کاربرانِ نرم‌افزار را می‌توان از روش‌های سعی و خطا حدس زد.

برخی از برنامه‌های کاربردی به طور خودکار حساب کاربری را بر اساس یک دنباله ( مانندuser۱۰۰۱، user۱۰۰۲ و... )، تولید می‌کنند.

بنابراین مهاجم می‌تواند به گونه ای آنرا پیش بینی نماید. در نتیجه می‌تواند توالی و نحوه تعیین نام کاربری معتبر را بدست آورد. لازم به توضیح است که در روش تعیین نام کاربری، در صورتی که در برنامه سیاست تحریم حساب کاربری پیاده‌سازی شده باشد، پیام‌های خطای پشت سر هم با شکست مواجه خواهد شد. بطور نمونه برنامه کاربردی پس از دریافت پیام‌های خطای پشت سرهم حساب کاربری را برای مدت زمان معینی قفل می‌نماید.

ب - حمله به رمز عبور
حمله به رمز عبور و سوء استفاده از قابلیت‌های آن روش دیگری است که برای درهم شکستن سازوکار احراز اصالت بکار می‌رود. این حمله خود شامل روش‌های مختلفی است. بعنوان یک راهکار، مهاجم اقدام به یافتن راه حلی برای تغییر رمز عبور در داخل برنامه کاربردی، به کمک جستجوی عنکبوتی برنامه و یا ایجاد یک حساب کاربری برای ورود به سیستم می‌نماید.

بدین صورت که سعی می‌شود تا رشته ای تصادفی برای فیلد رمز عبور قدیمی، رمز عبور جدید و نیز فیلد تکرار رمز عبور جدید در نظر گرفته شود. پس از آن مهاجم به تجزیه و تحلیل خطاها برای شناسایی نقاط آسیب‌پذیری در قابلیت‌های تغییر رمز عبور می پردازد.

روش دیگری نیز وجود دارد و آن استفاده از ویژگی «فراموشی رمز عبور» است که جهت بازیابی رمز عبور توسط کاربر از آن استفاده می‌شود و ما تاکنون بارها از آن استفاده کرده‌ایم.

این موضوع معمولا یک چالش برای کاربر محسوب می‌شود. اگر تعداد تلاش برای بازیابی رمز عبور محدود نباشد، مهاجم به کمک مهندسی اجتماعی می‌تواند در این زمینه صاحب موفقیت شود. از این رو ممکن است برنامه‌های کاربردی آدرس بازیابیURL منحصربفرد یا همان رمز عبور فعلی را به آدرس ایمیل تعیین شده توسط مهاجمی که توانسته در این چالش پیروز شود، ارسال نماید.

یک ویژگی دیگر نیز می‌تواند مورد سوءاستفاده مهاجم قرار گیرد و آن استفاده از ویژگی «مرا به خاطر داشته باش» است. این کارکرد، ابزاری است که برای استفاده از آن از کوکی‌های پایدار استفاده می‌شود.

این کوکی‌ها بصورت شناسه دائمی یک نشست و یا یک نام همچون RememberUser=MP۶۴۲۹ یا RememberUser= mousavipour می‌باشند. مهاجم می‌تواند از یک شمارشگر نام کاربری یا پیش بینی شناسه یک نشست، مثل استفاده از مشخصات فرد استفاده‌کننده برای دور زدن سازوکار احراز اصالت استفاده نماید.

ج - حمله نشست
در مرحله اول این حمله که مربوط به حملات به سازوکارِ احراز اصالت است، مهاجم اقدام به جمع‌آوری مقادیر چند شناسه نشستِ معتبر می‌نماید. جمع‌آوری این مقادیر با آزمایش مداوم و تشخیصِ ترافیک کاربران معتبر انجام می‌گیرد.

سپس مهاجم شناسه‌های جمع‌آوری شده نشست را تجزیه و تحلیل نموده و فرایند تولید شناسه نشست را همچون ساختارِ شناسه نشست، اطلاعاتی که در ایجاد آن مورد استفاده قرار می‌گیرد و الگوریتم رمزگذاری و یا الگوریتم درهم نمودن متن را که جهت محافظت نرم‌افزار استفاده می‌شود، تعیین می‌نماید.

سازوکارهای تولید نشستی که مورد حمله قرار می‌گیرند، ترکیبی از نام کاربری یا دیگر اطلاعات قابل پیش بینی نظیر برچسب زمانی و یا آدرس IP مشتری هستند که از آنها برای شناسه‌های نشست استفاده می‌شود. مهاجم می‌تواند به کمک تکنیکی موسوم به کاربریِ ناشیانه مقادیر مختلفی از شناسه‌های نشست را تولید نموده و تست نماید و تا موفقیت در دسترسی به نرم‌افزار کاربردی آنرا ادامه دهد.

د - سوء استفاده از کوکی‌ها
آخرین موردی که در چهارچوب حملات به سازوکار احراز اصالت بررسی می‌گردد، سوء‌استفاده از کوکی‌ها توسط مهاجم است. در صورتی که کوکی‌ها شناسه‌های نشست یا رمزهای عبور را در خود داشته باشند، مهاجم می‌توانند با استفاده از روش‌هایی مانند تزریق اسکریپت و یا استراق سمع آنها را سرقت کند. آنگاه کوکی‌های مشابه را با تغییر رمزهای عبور یا شناسه‌های نشست، برای دور زدن برنامه احراز هویت به محل خود باز می‌گرداند.

حمله به ساختار احراز اصالت
یکی از روش‌های دیگر حمله به برنامه‌های تحت وب، حمله به ساختار احراز اصالت است. مهاجم برای خرابکاری تمهیداتِ برنامه‌های مجازشناسی، از طریق تغییر فیلد‌های ورودیِ درخواست‌های HTTP اقدام نموده و آنها را دستکاری می‌نماید. این فیلدها مربوط به شناسه کاربر، نام کاربری، گروه دسترسی، هزینه، نام فایل، شناسه‌های فایل، و... می‌باشد.

اولین دسترسی مهاجم به نرم‌افزار وب با استفاده از حساب کاربری کم اهمیت انجام می‌گیرد و بعد از آن دسترسی به منابع حفاظت شده با اهمیت‌تر صورت می‌گیرد. در این روش مهاجم اقدام به مطالعه و بررسی غیر مجاز درخواست‌های HTTP شامل پارامترهای بررسی رشته‌های جستجو و نیز سرآیندهای HTTP می‌کند.

در صورتیکه رشته پرس و جو که جهت استخراج داده‌ها از پایگاه داده‌ها و به كارگیرى آنها استفاده می‌گردد، در نوار آدرس جستجوگر صفحات وب قابل دیدن باشد، مهاجم بسادگی می‌تواند با تغییر پارامترهای رشته، سازوکار احراز اصالت را دور بزند و از آن عبور کند.

در ارتباط با سرآیندهای HTTP نیز این نکته حائز اهمیت است که، اگر نرم‌افزار از سرآیند ارجاع جهت ایجاد تصمیم گیری‌های کنترل دسترسی استفاده کند، مهاجم می‌تواند از آن برای تغییر عملکردهای دسترسی حفاظت شده نرم‌افزار استفاده نماید.

علاوه بر مطالعه غیر مجاز درخواست‌های HTTP مهاجم اقدام به مطالعه غیر مجاز پارامترهای کوکی می‌کند. به این صورت که در گام نخست، اقدام به جمع‌آوری برخی از کوکی‌های ذخیره شده توسط برنامه تحت وب نموده و جهت تعیین سازوکار و چگونگی تولید کوکی‌ها، آنها را مورد تجزیه و تحلیل قرار می‌دهد.

پس از آن مهاجم کوکی‌های ذخیره شده توسط برنامه تحت وب را در تله انداخته و در آنها تغییرات غیر مجاز خود را انجام می‌دهد.

حمله به سازوکار مدیریتِ نشست
مهاجم سازوکار مدیریت یک نشست را در یک برنامه کاربردی تجزیه نموده تا بتواند از کنترل‌های مجازشناسی آن عبور کرده و خود را بجای کاربران دارای امتیاز ویژه و در واقع با هویت جعلی جا بزند.

برای تولید مجوز یک نشست ابتدا مجوزهای آن نشست پیش‌بینی شده و سپس دستکاری غیرمجاز بر روی علائم و مجوزهای نشست انجام می‌گیرد. چگونگی استفاده و بکارگیری مجوز نشست نیز موضوعی است که به آن پرداخته می‌شود.

همانطور که گفته شد، برای تولید مجوز یک نشست این دو عنوان مورد توجه‌اند. موضوع اول محاسبه و پیش بینی مجوزهای نشست و دیگری مطالعه و دستکاری غیر مجاز علائم و مجوزهای نشست می‌باشد. نمونه‌ای از یک رمزگذاری ضعیف که منجر به حمله گردیده است در شکل آورده شده است که در آن رمزگذاری در مبنای شانزده یک رشته اسکی بصورت user=mousavipour;app=admin;date=۱۰/۱۲/۱۳۹۱, می‌باشد.
در این مثال، مهاجم می‌تواند مجوزهای دیگر نشست را تنها با تغییر تاریخ این متن حدس بزند و از آن در ارتباطات آتی با سرور استفاده نماید. بنابراین مهاجم می‌تواند مجوز نشست معتبر را با بررسی مداوم و تشخیصِ ترافیک و یا بصورت ورود غیرقانونی به نرم‌افزار و تجزیه و تحلیل آن برای شیوه رمزگذاری (hex-encoding, Base۶۴ ) و یا هر الگوی و نشانه دیگری بدست آورد.

در صورتیکه بتوان از هر نشانه و مفهومی با استفاده از مهندسی معکوس و نمونه برداری از مجوز نشست پی به ساختار مجوز نشست برد، مهاجم مبادرت به حدس زدن مجوزهای اخیری می‌کند که برای سایر کاربران برنامه صادر شده است. سپس تعداد بسیار زیادی درخواست را که مربوط به صفحه وابسته به نشست است، با حدس مجوز می‌سازد و جهت تعیین مجوز معتبر بکار می‌گیرد.

در ادامه مهاجم استفاده از مجوز نشست را در دستور کار خود قرار خواهد داد. بدین صورت که بوسیله ابزارهای ردیابی یا یک ------ بین‌راهی بصورت مداوم اقدام به بررسی ترافیک برنامه می‌کند.
در صورتیکه از کوکی‌های HTTP جهت سازوکارِ انتقال برای مجوزِ یک نشست استفاده گردد و نیز فلگ امنیت در آن فعال نگردیده باشد، مهاجم می‌تواند یک کوکی را جهت دسترسی غیر مجاز به برنامه کاربردی جایگزین کوکی فعلی نماید. استفاده مهاجم از کوکی‌های نشست می‌تواند منجر به حملات جلسه ربایی، برگرداندن نشست و مَرد میانی شود.

اجرای حمله تزریق
حملات تزریق یکی دیگر از روش‌های حمله به برنامه‌های تحت وب است. در این حمله مهاجم ورودی‌های مخرب آلوده و ساختگی را بگونه ای تهیه می‌کند که کدی منطبق با زبان مفسرِ بوجود آوردنده آن ایجاد شود و از آن درست مانند آنچه در دیگر برنامه‌های معمول بکار می‌رود، استفاده می‌کند. برخی از انواع این حملات تزریق را در ادامه بررسی می‌کنیم.

- یک نمونه از این گونه حملات، تزریق دستورات STMP در ارتباطاتِ بین برنامه کاربردی و سرور STMP می‌باشد که برای ایجاد حجم زیادی از هزرنامه‌های ایمیل بکار می‌رود.
- یک نمونه دیگر تزریق دستورات سیستم‌عامل نام دارد. در این حمله در صورتیکه ورودی‌های کاربر در سطح فرمان‌های سیستمی مورد استفاده قرار گیرند، مهاجم بوسیله وارد کردن کدهای مخرب در فیلدهای ورودی از سیستم عامل بهره برداری خواهد نمود.
- تزریق اسکریپت‌های وب نمونه دیگری از این حمله است. در صورتیکه ورودی‌های کاربر درون کدهایی قرار بگیرند که عملکرد پویایی دارند، این ورودی‌های آلوده می‌توانند دستورات اجرایی را بر روی سرویس دهنده و محتویات داده‌های مورد هدف، بشکنند.
- تزریق SQL نیز با داخل نمودن یکسری از دستورات جستجوی مخرب به درون فیلدهای ورودی جهت استخراج داده از پایگاه داده SQL انجام می‌شود. بنحوی که بطور مستقیم بتوان داده‌ها را در پایگاه داده دستکاری نمود.
- تزریق LDAP امکان استفاده غیر معتبر از قابلیت‌های آسیب‌پذیر در ورودی‌های نرم‌افزار کاربردی را با عبور از فیلتر‌های LDAP میسر می‌سازد. امکان دسترسی مستقیم به منابع پایگاه داده به کمک این نوع حمله تزریق امکان‌پذیر می‌گردد.
- و سرانجام تزریق XPath معرفی می‌شود که در آن مهاجم امکان وارد نمودن رشته‌های مخرب را در فیلدهای ورودی به منظور دستکاری فرمان‌های جستجوی‌ و استخراج داده‌های XPath را می‌یابد. به طوری که با منطق برنامه مطابق بوده و با آن تداخلی ایجاد نشود.

حمله به اتصال داده
در حمله اتصال به پایگاه داده به جای آنکه از پرس‌و‌جوی پایگاه داده استفاده شود، از نرم‌افزارهای مرتبط با پایگاه داده استفاده می‌گردد. حملات اتصال داده در سه دسته حمله تزریق رشته اتصال، حمله آلودگی پارامترهای رشته اتصال و حملات ترکیبی اخلال در خدمت اتصال تقسیم بندی شده‌اند.

این رشته‌های اتصال به پایگاه داده در ارتباطات بین موتور پایگاه داده و برنامه‌های کاربردی مورد استفاده قرار می‌گیرند. بطور نمونه جهت ارتباط با پایگاه داده‌‌ سرورSQL مایکروسافت از یک رشته اتصال رایج استفاده می‌شود.

بنابراین مهاجم با تزریق پارامترهای مورد نظر در رشته اتصال، در محیطی که اجازه آنرا یافته است، اقدام به این حمله می‌نماید و کاراکترهای خود را بعد از یک نقطه ویرگول به رشته وارد می‌کند. این حمله وقتی قابل انجام است که از رشته الحاقی پویـا در ساختار ورودی‌های رشته اتصال کاربر استفاده شود.

در روش دوم آلوده نمودن پارامترهای رشته اتصال مورد توجه قرار می‌گیرد. از این رو مهاجم اقدام به بازنویسی مقدار پارامترها در رشته اتصال می‌نماید که خود در سه مرحله انجام می‌گیرد.

سرقت تابع درهم‌ساز که در رمزی‌سازی کاربرد دارند، یکی از مراحل این حمله است. در این حالت مهاجم با اجرای عملیات مطالعه و بررسی گواهی نامه‌های ویندوز و نیز جایگزینی مقادیر پارامترهای منبع داده‌ای که با اینترنت در ارتباط هستند، اقدام به سرقت توابع درهم‌ساز می‌کند.

در گام بعدی مهاجم بوسیله تغییر مقادیر و بررسی خطاهای بوجود آمده، اقدام به جستجو و شناسایی درگاه‌های باز سیستم می‌کند. آنگاه تلاش می‌کند بوسیله ربایش گواهی نامه‌های وب و ایجاد یک شناسه کاربری در آن به پایگاه داده متصل شود.

اما روش سومی نیز برای حمله به اتصال داده وجود دارد و آن ایجاد حملات ترکیبی اخـلال در خدمت است. در این روش مهاجم به بررسی تنظیمات اتصال برنامه کاربردی پرداخته و آنها را شناسایی می‌کند.

سپس یک بدافزار پرس‌و‌جوی SQL را جهت انجام پرس‌وجو‌های همزمان بر روی قربانی راه‌اندازی می‌کند تا تمامی ارتباطات آنرا مشغول نموده و سبب شود دیگر درخواست‌های پرس و جوی کاربران قانونی دچار اشکال شود.

بطور مثال در ASP.NET بصورت پیش فرض، حداکثر تعداد ۱۰۰ تماس با زمان اتمام ۳۰ ثانیه در نظر گرفته شده است. بنابراین مهاجم تماس‌های همزمان متعددی بیش از این مقدار، با زمان اجرای بیش از ۳۰ ثانیه ایجاد خواهد نمود تا موجب اخلال در خدمت پایگاه داده و نرم‌افزار روی آن شود.

حمله به نرم‌افزارهای تحت وب مشتری
مهاجمان با توجه به اهدافشان می‌توانند بخش‌هایی از حملات گفته شده را بر روی نرم‌افزارهای مشتری پیاده‌سازی نمایند و حتی با آلوده نمودن آنها و اجرای بدافزارهایی، آنها را جهت اجرای حملات بر روی سایر اهداف به خدمت بگیرند.

بطور معمول نبود دانش کافی، نبود حساسیت‌های امنیتی صاحبان این وسایل و یا بی‌توجهی به موارد امنیتی که بطور معمول در پایین‌ترین سطح توجه قرار دارند، رخنـه به نرم‌افزارهای کاربردی مشتریان توسط مهاجم را به سادگی ممکن می‌سازد.

حمله تعیین مسیر مجدد پیام، تزریق به سرایندHTTP، تزریق به فریم، حمله درخواست‌های ساختگی، جلسه ربایی، حمله سر ریـز بافر، فریب‌کاری درARP، حمله کانال پنهان و حملات اکتيو ايکـس تنها بخشی از حملاتی است که توسط مهاجم صورت می‌گیرد.

حمله به سرویس‌های وب
تکامل خدمات وب و استفاده روز افزون آنها در تبادل اطلاعات، کسب‌وکار و بنگاه‌های اقتصادی، پیشنهادهای جدیدی را پیش روی مهاجمان و سوءاستفاده کنندگان گشوده است.

بنابراین آنها مسیر حمله به بدنه این برنامه‌ها را دنبال می‌کنند. بطور کلی فناوری سرویس وب امکان ارتباط نرم‌افزارهای کاربردی را با یکدیگر مستقل از نوع سیستم عامل و زبان برنامه نویسی می‌دهد. سرویس‌های وب مبتنی بر پروتکل‌های XML هستند.

این پروتکل‌ها همچون WSDL برای تشریح نقاط تماس؛ UDDI برای توصیف و پیدا کردن سرویس‌های وب؛ و پروتکل‌هایSOAP، برای ارتباطات بین وب سرورها می‌باشند که در معرض تهدید قرار دارند. مهاجم در فازهای اولیه اقدام به جمع‌آوری اطلاعات از سرویس وب می‌نمایند و حملاتی را ترتیب می‌دهد.

این عملیات با مشاهده‌ و جمع‌آوری ردپای اطلاعات UDDI یک برنامه وب همچون موجودیت‌های کسب و کار، سرویس‌های کسب و کار، الگوهای الزام اور و مدل‌هایT انجام می‌گیرد.

سپس مهاجم اقدام به مسمـوم نمودن کدهای XML سرویس وب می‌نماید. بدین صورت که با قرار دادن کدهای مخرب XML درون درخواست‌های SOAP، منجر به جابجایی و دستکاری داده‌های گره XML شده و یا موجب مسمومیت الگوی XML ‌شود. بنابراین منطق زبانی XML تولید خطا نموده و درنتیجه اجرای آن با شکست مواجه شده و متوقف می‌گردد.

از این به بعد مهاجم می‌توانند منابع موجودیت‌های خارجی XML را دستـکاری نمایند، بطوریکه منجر به اجرای فایلی خودسر گشته و یا اتصال TCP موردنظر را باز نموده و برای حملات آتی سرویس وب مورد سوء‌استفاده قرار دهند. مهاجم با مسموم نمودن XML توانایی انجام حمله اخـلال در خدمت را دارد و نیز ممکن است قادر به شکستن محرمانگی اطلاعات گردد.

جمـع‌بندی
در این مقاله مفاهیم مرتبط با امنیت برنامه‌های کاربردی تحت وب مورد مطالعه قرار گرفت. این بررسی با نگاهی بر روش و قواعد کلی حملات انجام گرفت. پیش از بررسی جزئیات روش‌های رخنه‌گری در برنامه‌های تحت وب، به درک ساختار و معماری وب، سیاست‌گذاری‌های سرویس وب و نیز مهمترین سیاست آن یعنی امنیت برنامه‌های کاربردی تحت وب پرداخته شد.

با این نگاه، به بررسی حملات و روش‌های رخنه مهاجمان پرداخته شد. بدین ترتیب که مهاجم در اولین گام اقدام به حمله ردپا به زیرساخت‌های وب می‌نماید. این موضوع در شناسایی قربانیان و شناخت نقاط آسیب‌پذیر برنامه‌های تحت وب کمک بسیاری می‌کند.

بنابراین مهاجم در چهار مرحله اکتشاف سرور، اکتشاف سرویس، شناسایی سرور و اکتشاف محتوای پنهان حملاتی را ترتیب می‌دهد.

مهاجم در ابتدا از موقعیت فیزیکی سرور اطلاع پیدا نموده، سپس خدمات در حال اجرا بر روی سرویس‌دهنده وب را کشف نموده تا از آن به عنوان مسیرهای حمله برای رخنه در برنامه‌های کاربردی تحت وب، استفاده نماید.

در ادامه با ربایش علائم سرویس دهنده، مهاجم به کشف و استخراج محتوای پنهان شده و بطور کلی قابلیت‌های پنهان شده‌ای که بطور مستقیم در دسترس نیستند، می‌پردازد.

این مراحل با استفاده از ابزارهای مختلفی انجام می‌گیرد. این ابزارها همچون شمشیر دولبـه‌ای هستند که مهاجمان با استفاده از آنها سعی در تحقق اهداف غیرمجاز خود دارند و مدیران شبکه نیز از آن در جهت ایمنی و اجرای سیاست‌های امنیتی بهره می‌برند.

پیروزی در این رقابت نیازمند کسب دانش و آگاهی بیشتر از رقیب بوده و مستلزم آن است که با تجزیه و تحلیل قابلیت‌ها و نقاط ضعف در مجموعه تحت اختیار بتوانیم سازوکار مناسبی را جهت امنیت برنامه‌های تحت وب ارائه داده و تا حد امکان هزینه‌های رخنـه‌گری را کاهش دهیم. 

[tanha.2011]

ایتنا- پسربچه‌ای خوب که می‌تواند در حال استراحت، سازمان‌های بین‌المللی را به زانو دربیاورد!



کاسمو هویت غیر واقعی اوست. وی با لقب CosmoTheGod در میان اجتماع هکرهای محل خود آن قدر بدنام است که آنها یک گروگان‌گیری ساختگی را ترتیب دادند تا تیم تسلیحات و تاکتیک‌های ویژه (SWAT) را برای lolz (اصطلاح عامیانه اینترنتی شوخی و خنده) در اطراف خانه‌اش جمع کنند.

او ۱۵ سال دارد و با مادر و مادربزرگش زندگی می‌کند. از منظر مادربزرگش، او «یک پسر بچه خوب» است که «همیشه در خانه می‌ماند.» این مشخصات، مربوط به یک هکر است، پسر بچه‌ای که در حال استراحت در تخت خواب خود می‌تواند سازمان‌های بین‌المللی را به زانو در بیاورد!

بین زمستان سال گذشته و بهار امسال، کاسمو و بقیه هکرهای گروه هکتیویستی موسوم به UGNazi حمله‌های محروم‌سازی از سرویس (DDos) خود را در سراسر وب‌گاه‌ها از جمله NASDAQ و CIA.gov ترتیب دادند.

در ماه مه سال گذشته، آنها بعد از نفوذ به یک آژانس رسیدگی به صورتحساب‌ها کار خود را با ارسال اطلاعات ۵۰۰۰۰۰ کارت اعتباری فعال به طور آنلاین ادامه دادند. سرانجام در ماه ژوئن امسال، کاسمو (در میان افراد دیگر) به عنوان بخشی از یک عملیات سری چند ملیتی اف‌بی‌آی در ارتباط با کلاهبرداری از طریق کارت اعتباری دستگیر شد که محاکمه آن هنوز صورت نگرفته است.

کاسمو مهندس اجتماعی بود و مسئولیت او عبور از موانع، سرقت شماره تلفن و ورود به هر گونه حساب از جمله آمازون، اپل، AOL، PayPal و غیره بود.

اما آنچه آزاردهنده است این است که او یک نابغه تبهکار با سبک جیمز موریارتی نیست.

یک نابغه شرور قدرتمند هم نیست که به دنبال جمع‌آوری ثروت و قدرت باشد. او فقط یک پسر بچه نیمه مجرم بی‌انگیزه است.

منتها به جای قاپیدن کیف افراد، سرقت خودرو برای خوشگذرانی و تفریح یا ورود غیر قانونی به فروشگاه‌های محلی، این پسر بچه اکنون در واقع می‌تواند خسارت‌های جهانی به بار آورد.

افرادی که وقت و تخصص دارند بدون هیچ دلیلی به جز سرگرمی می‌توانند به فضای سایبری حمله کنند و هویت‌های شخصی را سرقت کنند و کسب و کارها را متوقف سازند. ماه گذشته، مت هونان، روزنامه‌نگار نشریه Wired، با کاسمو مصاحبه کرد و دیدگاه وحشتناکی را نسبت به این حوزه آشکار ساخت.

همه ماجرا با یک ترفند برای تقلب در بازی آنلاین Xbox شروع شد. برای هواداران آشکار شد که پیروزی فوری می‌تواند با مغلوب کردن بازیکنان حریف به طور آفلاین در بین بازی به دست آید.

این کار را می‌توان با تغییر یک اسکریپت در نشانی IP حریف انجام داد. این کار ساده بود. از آنجا که بازیکنان از طریق لقب و نه نام واقعی یکدیگر را می‌شناختند، برای بازنشانی رمز عبور از طریق Windows Live و بنابراین سرقت لقب یک بازیکن، فقط نام حساب و چهار رقم آخر و تاریخ انقضای کارت اعتباری موجود در پرونده لازم بود. از آنجا که بازیکن اصلی با لقب «کاسمو» یک حساب نتفلیکس نیز داشت، یک هویت غیر واقعی به وجود آمد.

کاسمو به نشریه Wired می‌گوید: «با نتفلیکس تماس گرفتم و این کار خیلی ساده بود. آنها گفتند، «اسمت چیست؟» «و من گفتم، Todd و نشانی پست الکترونیکی او را به آنها دادم و آنها گفتند، «بسیار خب، رمز عبور شما ۱۲۳۴۵ است» و وارد حساب او شدم.

چهار رقم آخر کارت اعتباری او را دیدم و سپس فرم بازنشانی رمز عبور ویندوز لایو را تکمیل کردم که فقط به نام و نام خانوادگی دارنده کارت اعتباری، چهار رقم آخر و تاریخ انقضا نیاز داشت. نشریه Wired این روش را با توجه به اصل امانت‌داری در روزنامه‌نگاری آزمایش کرد و متوجه شد که هنوز جواب می‌دهد.

تفریحات ناسالم!
این ماجرا دیدگاه وحشتناکی را نسبت به -- کردن آنلاین آشکار می‌سازد. این درگاه به روی همه کسانی که می‌خواهند وارد شوند باز است. ممکن است اطلاعات حساس فاش شود.

ممکن است شرکت‌ها اعتماد و اعتبار خود را از دست دهند و این روند در حال افزایش است. در اواخر ماه ژوئیه، NCC Group، شرکت بیمه اطلاعات جهانی، از افزایش قابل توجه -- کردن در سه‌ماهه دوم سال ۲۰۱۲ خبر داد که شامل افزایش شدید -- در ایالات متحده، چین و روسیه می‌شد.

در واکنش به این مسئله، افراد عادی بیشتر و بیشتری -- کردن را به طور شخصی می‌آموزند. همان طور که جَک کوزیول، مدیر خدمات آموزشی در مؤسسه Infosec اخیراً برای واشینگتن پست توضیح داد: «این یک رقابت تسلیحاتی است. مشخصات یک هکر در طول سال‌ها واقعاً تغییر کرده است و اگر واقعاً خودتان به سیستم خود حمله نکنید، فهمیدن اینکه چگونه سیستم شما ممکن است مورد حمله قرار گیرد دشوار است.»

شرکتی که کارگاه‌های آموزشی -- کردن را در سراسر ایالات متحده ارائه می‌دهد، شاهد افزایش چشمگیر تقاضا در طول چند سال گذشته بوده است و پیش‌بینی می‌کند که درآمد آن در سال ۲۰۱۳ به میزان ۲۱ درصد افزایش یابد.

این موضوع به طور کلی بسیار جالب است و بدیهی است که آموزش و امنیت مناسب برای حفظ ایمنی شرکت‌ها امری حیاتی است. اما آیا سازمان‌ها واقعاً می‌توانند با کودکان بیکار و کنجکاوی که کار بهتری برای انجام دادن ندارند، رقابت کنند؟ خراب کردن چیزها همیشه از حفاظت از آنها آسان‌تر است.

در آن «دورانی که سرقت خودرو برای تفریح و خوشگذرانی انجام می‌شد» هم، هرگز به نظر نمی‌رسید آن هشدارهای پر سر و صدای خودروها تأثیر چندانی داشته باشند! 

[VAHID]

ایتنا- در نسخه تازه منتشر شده آپاچی مسائلی برطرف شده است كه نویسندگان نرم افزار آن ها را به عنوان مشكلات مهم برچسب گذاری كرده بودند.

نسخه جدید چارچوب كاری آپاچی روز جمعه منتشر شد. در این نسخه دو مشكل كه باعث نگرانی توسعه دهندگان بود، برطرف شده است.


Apache Strutsیك چار چوب كاری منبع باز محبوب برای توسعه دهندگان برنامه های كاربری وب مبتنی بر جاوا می باشد و توسط بنیاد نرم افزار آپاچی نگهداری می شود. در نسخه تازه منتشر شده آپاچی مسائلی برطرف شده است كه نویسندگان نرم افزار آن ها را به عنوان مشكلات مهم برچسب گذاری كرده بودند.

به گزارش ایتنا از مرکز ماهر،‌ مكانیزم Dynamic Method Invocation كه به احتمال زیاد دارای آسیب پذیری های امنیتی می باشد در نسخه جدید آپاچی به طور پیش فرض غیرفعال شده است. این ویژگی در نسخه های پیشین فعال بوده است اما كاربران توصیه كرده اند كه در صورت امكان غیرفعال شود.

با وجود این تغییر، نویسندگانی كه برنامه های كاربردی را نگهداری می كنند كه مبتی بر DMI می باشند در صورتی كه آپاچی را به نسخه ۲.۳.۱۵.۲ ارتقاء دهند، ممكن است لازم باشد كه برنامه ها را دوباره بسازند.

هم چنین در این نسخه مساله ای در ارتباط با پیشوند "action:" برطرف شده است كه می توانست در فرم ها برای الصاق اطلاعات به دكمه ها مورد استفاده قرار بگیرد. این مساله در Struts نسخه ۲ می تواند تحت شرایط خاصی برای دور زدن محدودیت های امنیتی مورد سوء استفاده قرار بگیرد.

ماه گذشته، محققان شركت امنیتی ترند میكرو هشدار دادند كه مهاجمانی از چین در حال استفاده از یك كد سوء استفاده در برابر آسیب پذیری های Struts می باشند.

[tanha.2011]

برنامه جاوا به عنوان مهم‌ترین هدف حملات هکری در نیمه اول سال 2013 شناخته شد، زیرا حملات به آن روز به روز در حال افزایش است.





به گزارش خبرگزاری فارس به نقل از نتورک ورلد، F-Secure گزارش امنیتی جدید موسسه F-Secure نشان می دهد که از 5 آسیب پذیری برتر شناسایی شده در فضای مجازی چهار آسیب پذیری مربوط به جاوا، اعم از Runtime Environment (JRE) یا پلاگین های نصب شده جاوا در مرورگرها بوده‌اند.

کارشناسان این موسسه امنیتی معتقدند جاوا در کنار سیستم عامل ویندوز که آن هم سوژه محبوب هکرهاست به طور گسترده در ساختار آی تی سازمان ها و شرکت های مختلف به کار می رود و به همین علت برای سرقت اطلاعات و ضربه زدن به کاربران مورد توجه قرار می گیرد.

5 آسیب پذیری برتر شناسایی شده برای انجام 95 درصد از موارد حملات مورد سواستفاده قرار می گیرند و بخش عمده این حملات بر علیه اهدافی در داخل خاک آمریکا صورت می گیرد.

برآوردهای F-Secure نشان می دهد از هر 1000 کاربر 78 نفر در آمریکا شاهد کشف آسیب پذیری مهمی در شش ماه اخیر بوده اند. مهم آن است که از کار انداختن پلاگین های جاوا در مرورگرها هم باعث سد شدن نفوذهای هکری نمی گردد و باید در این زمینه اقدامات جدی تری صورت بگیرد.