آسیب پذیری لینک های سایت About نسبت به حملات XSS و XFS iframe

سایت About.com شامل تاپیک‌های متنوع است و طیف گسترده‌ای از موضوعات را پوشش می‌دهد، اما اخیرا این وب‌سایت مشکل امنیتی بزرگی پیدا کرده و از این‌رو امنیت بیش از ۹۸ میلیون بازدیدکننده را به خطر انداخته است.

 گزارشی توسط یکی از محققان امنیتی به‌نام Wang Jing مبنی بر آسیب‌پذیری تاپیک‎ها و دامین‌های مرتبط با About.com فاش شد. طبق این گزارش، دامین و تمامی زیردامین‌ها نسبت به حملات XSS و XFS آسیب‌پذیر هستند.

وانگ‌جینگ با انتشار بیانه‌ای اعلام کرد: «بعد از گذشت 3 ماه هنوز این مشکل امنیتی برطرف نشده است.» او هم‌چنین اعلام کرد که بخش جستجوی سایت به حملات XSS آسیب‌پذیر بوده و این مشکل امنیتی باعث شده تمامی زیردامین‌های سایت نیز آسیب‌پذیر شوند.

برخی آسیب‌پذیری‌های Open Redirect از سایت About.com گزارش شده است. بر اساس این حملات، برنامه‌ی وب مقداری را از کاربر گرفته و او را به مقصد و یا لینکی دیگر که فاقد ارزش است، هدایت می‌کند؛ با استفاده از این آسیب‌پذیری می‌توان حملات فیشینگ را اجرا کرد. در حملات فیشینگ، کاربر بدون اطلاع و ناآگاهی به سایت‌ها و منابع مخرب هدایت می‌شود. از آنجایی‌ که سایتِ About.com مورد اعتماد اکثر سایت‌ها است، این آسیب‌پذیری مشکلاتی را برای سایت‌های دیگر به‌وجود می‌آورد؛ در واقع می‌توان حملات Covert Redirect را برای این سایت‌ها به‌کار برد. این حملات  از مقادیر به‌دست آمده توسط حملاتِ Open Redirect برای هک سایت‌های روی سرور استفاده می‌کند.

 XSS حملاتی جالب اما مخرب!

بر اساسِ گزارش OWASP در سال 2013، XSS جزو 10 حملات پرخطر به‌شمار می‌آمد. XSS مخفف Cross Site Scripting بوده و برای جلوگیری از بروز اشتباه با CSS، حرف اول آن‌را X در نظر گرفتند. در XSS هكرها، كدهای خود را جايگزين كدهای صفحات وب پويا می‌كنند. اين حمله، اغلب هنگامی‌ صورت می‌گيرد كه يک سايت جهت درخواست اطلاعات كاربر از Query string استفاده می‌کند. كدهایی كه جايگزين كدهای صفحات پويا می‌شوند، روی كامپيوتر كاربر اجرا می‌شوند. اين كدها می‌توانند اطلاعات با اهميت موجود در كامپيوتر کاربر را سرقت کرده و به‌صورت مخرب بكار گيرند. این حمله از بدو ورود اینترنت به دنیای ما وجود دارد. می‌توان گفت هر سایتی که مقادیری را از کاربر دریافت می‌کند، مستعد حملات XSS هستند. مبنای XSS کاربر است نه سرور! یعنی با ناآگاهی‌های کاربر می‌توان سایت اصلی و کل سایت‌های روی سرور را هک کرد. به این نوع از حملات اصطلاحا Mass Deface گفته می‌شود.

همچنین وانگ‌جینگ گفت:

    این سایت نسبت به حملات Iframe نیز آسیب‌پذیر است. iframe تکنیک بکار برده شده در زبان HTML است. توسط این تکنیک می‌توان فایل‌هایی مانند عکس یا فیلم را در صفحه‌ی وب HTML جایگذاری کرد. در واقع iframe تکنیکی است که می‌توان اطلاعات صفحه‌ی وب دیگر را در صفحه‌ی وب اصلی قرار داد. این نوع از حمله بسیار مهم و پرخطر است؛ زیرا اکثر سایت‌های شبکه‌های اجتماعی از این تکنیک استفاده می‌کنند.

طبق تحقیقات انجام شده روی این سایت، بیش از 94 هزار لینک مخرب شناسایی شده است. تنها 118 لینک از این نتایج متعلق به تاپیک‌های سایت نبوده اما 99درصد از کل سایت در معرض حملات iframe قرار دارند. در حقیقت، اگر ساختارِ About.com را در نظر بگیریم، دامین اصلی حکم کاور را دارد و بقیه سایت‌ها زیر مجموعه این دامین هستند.

 گزارش‌های جینگ روی این سایت کامل بوده به‌طوری‌که در صفحه توییتر و وبلاگ خود به شرح این آسیب‌پذیری‌ها پرداخته است. حملات XFS و Open Redirect در مرورگر اینترنت اکسپلورر(نسخه10)، فایرفاکس(نسخه 34)، گوگل‌کروم(نسخه 39)، اپل‌سافاری(6.1.6) و سیستم‌عامل‌های ویندوز 8، گوگل‌کرومیوم(39) و اوبونتو(14.04) جواب داده است. حملات XSS هم در سیستم‌عاملِ اوبونتو با مرورگر فایرفاکس(نسخه 26) و ویندوز 7 با مرورگر اینترنت‌اکسپلورر(9.0.15) با موفقیت به پایان رسیده است.

جینگ استراتژی حمله را به این شکل توضیح داد؛

    تمامی لینک‌های About.com در معرض خطر قرار دارند. اگر /lr/ را به آخر هر زیر دامین از سایت اضافه کنید، و کد دلخواه+اسکریپت و یا فقط اسکریپت را پیوند دهید، آدرس دایرکت شده یا مخرب به‌وجود می‌آید. توسط این آدرس می‌توان حملات فیشینگ را اجرا کرد.

OWASP

این کلمه مخفف Open Web Application Security Protocol Project است؛ OWASP پروژه‌ای است که توسط نهادی غیر دولتی اداره می‌شود. در این پروژه، تمامی پروتکل و معیارهایی که برای امن شدن نرم‌افزار خود باید بکار ببرید تشریح داده شده است. از آنجایی که این سازمان در زمینه امنیت مشغول است، هر ساله لیستی از پرخطرترین آسیب‌پذیری‌ها و حملات را منتشر می‌کند. OWASP آسیب‌پذیری موجود در این سایت را پرخطر خوانده و حمله را به این شکل تشریح داده است:

    در XFS یا Cross-Frame Scripting هکر اسکریپتی خاص برای به‌دست آوردن دسترسی به سایت‌های دیگر اکسپلویت یا بهره‌برداری می‌کند. هکر منتظر می‌ماند تا کاربر سایتی که توسط هکر کنترل می‌شود را باز کند. سایت مخرب حاوی صفحه‌ای از سایت دیگر است که با اجرا شدن جاوا اسکریپت، اطلاعات مهم کاربر به سرقت می‌رود. برخی اوقات XFS برای توصیف حمله‌ی XSSای که از صفحات HTML استفاده می‌کند، بکار برده می‌شود. به‌عنوان مثال، هکر سایتی که دارای باگ XSS است را اکسپلویت کرده است و عملکرد باگ به شکلی است که توسط آن می‌توان یک قالب و یا اسکریپتی را به صفحه دیگر تزریق کرد؛ و یا هکر صفحه‌ای را ایجاد کرده است که از فریم برای بارگذاری صفحه‌ی دیگر استفاده می‌کند. در این حالت نیز حملات XFS است.

نتیجه‌گیری

 حتی اگر سایتی را از طریق ارتباطِ SSL بازدید کنید، باز هم حملات XSS قابل اجرا هستند. چون اسکریپت حمله در لایه‌های امن صفحات وب اجرا می‌شوند و مرورگر تفاوت بین محتوای امن و مخرب را تشخیص نمی‌دهد. چند راه‌حل برای دفاع در برابر این حملات وجود دارد؛

    پسوردها را خودتان به یاد داشته باشید و این اطلاعات را به مرورگر نسپارید.
    برنامه‌ها و Add-on هایی که کوکی‌ها و اطلاعات حساس را ردیابی می‌کنند، غیرفعال کنید.
    اطلاعات خود را در حافظه‌ای که رمزنگاری‌ می‌شود، نگه دارید.
    مکررا پسورد خود را عوض کنید.

و در آخر سیستم‌عامل و مرورگر خود را بروز نگه دارید. ممکن است مرورگر شما دارای آسیب‌پذیری باشد، پس حتما آپدیت‌ها را دانلود و نصب کنید چون برخی از این آپدیت‌ها شامل وصله‌های امنیتی است.