المعلم الرقمي
XSS) cross site scripting ) :
تابعوا الشرح :
ثغرة أمنية خطيرة تم اصلاحها في خدمة البريد الإلكتروني “جيميل” التابع لجوجل
قامت شركة “جوجل” بإصلاح ثغرة في عملية استرجاع الحسابات وكلمات المرور الخاصة بخدمة البريد الإلكتروني التابعة لها “جيميل”، بعد أن كانت هذه الثغرة تسمح للمهاجم بخداع المستخدم للحصول على تفاصيل بيانات حسابه في الخدمة.وقد قام باكتشاف هذه الثغرة المخترق الأخلاقي “أورن هفيف“، كما أكد “سبستيان روشكه” مهندس البرميجات لدى “جوجل”، أن هذه الثغرة تصنف ضمن الثغرات “مرتفعة التأثير”.وقال روشكه ضمن حاسبه في “جوجل بلس”، شبكة التواصل الاجتماعي التابعة لـ “جوجل”، إنهم تلقوا الأسبوع الماضي أكثر من 20 ثغرة تتراوح في شدتها، ومن بينها الثغرة التي نشر هفيف تفاصيلها على مدونته الخاصة.تجدر الإشارة إلى أن “جوجل” تسعى دائمًا لزيادة مقدار الأمان في استخدام خدماتها، حيث أعلنت بداية حزيران/يونيو الماضي أنها سترفع القيمة المالية للمكافآت التي تقوم بدفعها لمن يقوم بإبلاغ الشركة عن الثغرات الأمنية في خدماتها.
فيديو الثغرة :
فيديو إختبار الاختراق (cross site request forgery)
السلام عليكم ورحمة الله وبركاته
في هده الحلقة الثانية من دورة الهاكر الأخلاقي سنتعرف على ثغرة قليلة الانتشار ولكنها تبقى خطرة حسب نوعية الاستغلال .
CSRF) cross site request forgery ) :
تابعوا الشرح :
ثغرة Open URL Redirection جديدة في الفيسبوك
لم يسلم هده المرة موقع التواصل الاجتماعي فيسبوك من ثغرة خطيرة تمكن من إعادة تحويل اليوزر من موقع فيسبوك إلى مواقع خبيثة .
هده الثغرة اكتشفها Dan Melamed . وقد كافأته فيسبوك ب 1000 دولار .
وتفاصيل الثغرة على مدونته من هنا
فيديو الثغرة :
مكافات من مايكروسوفت وفيسبوك للكشف عن ثغرات أمنية
خصصت شركتا مايكروسوفت وفيسبوك مبالغ مالية لمن ينجح في الكشف عن ثغرات أمنية في البرامج والتطبيقات التي تستخدم على نطاق واسع. وبإمكان الفائز في الكشف عن ثغرة في بروتوكولات الانترنت الحصول على خمسة آلاف دولار على الأقل.
وذكرت مجلة "بي.سي ورلد" الأمريكية المعنية بمجال الكمبيوتر على موقعها الالكتروني أن لجنة من الباحثين من فيسبوك ومايكروسوفت وغوغل وغيرها من شركات التكنولوجيا سوف تشرف على هذا البرنامج. وذكر الباحثون في بيان على موقع "هاكر وان دوت كوم" الذين يستضيف برنامج المكافآت "لقد علمتنا التجارب ضرورة دعوة جميع المعنيين بغرض الكشف عن الثغرات الأمنية من أجل جعل الانترنت مكانا أفضل".
ومن المقرر أن يقدم البرنامج مكافآت لمن يكتشف ثغرات أمنية في باقة ضخمة من البرامج التي تستخدم على شبكة الانترنت، من أهمهاغوغل كروم وبرنامج إنترنت إكسبلورر 10 وأدوبي ريدر وفلاش بلاير. وسوف تتراوح قيمة المكافآت حسب خطورة الثغرة الأمنية التي يتم اكتشافها ونوعية البرامج التي تؤثر عليها، حيث يمكن أن تبدأ قيمة المكافأة على اكتشاف ثغرة أمنية في برنامج "فابريكاتور" على سبيل المثال من 300 دولار بينما تبدأ قيمة مكافأة اكتشاف ثغرة أمنية في أحد بروتوكولات الانترنت من 5000 دولار.
كما من المقرر أن يحصل الباحث على ضعف قيمة المكافأة، إذا ما قدم حزمة برامج لعلاج الثغرة الأمنية التي اكتشفها. ولا يستهدف البرنامج الجديد الباحثين في مجال أمن تكنولوجيا المعلومات فقط، بل أيضا أي شخص يكتشف ثغرة أمنية ويقوم بالإبلاغ عنها طالما تم ذلك وفق شروط ومعايير البرنامج. وبالتالي فإن قائمة من يشملهم البرنامج تضم باحثين أكاديميين ومهندسي برمجيات ومديري الأنظمة والمعنيين بالتكنولوجيا بصفة عامة.
باحث أمني يكتشف ثغرة خطيرة في موقع مطوّري توتير
ابراهيم حجازي، شاب عربي يعمل باحثاً أمنياً في في مجال إكتشاف ثغرات برمجيات المواقع Web Applications. حجازي اكتشف العديد من الثغرات الخطيرة في مواقع شركات كبيرة مثل مايكروسوفت وغوغل و فيسبوك وآخر اكتشافاته ثغرة خطيرة في موقع توتير للمطورين.
شركة توتير كمكافأة منها للباحث الشاب قامت بنشر اسمه ضمن قائمة الشرف الخاص بأمن الموقع (https://twitter.com/about/security)
شركة توتير كمكافأة منها للباحث الشاب قامت بنشر اسمه ضمن قائمة الشرف الخاص بأمن الموقع (https://twitter.com/about/security)
تفاصيل الثغرة
الثغرة التي تم اكتشفها تسمح للمهاجم برفع ملفات تشغيلية من نوع PHP (احدى اللغات المستخدمة في تطوير مواقع الانترنت) أو ملفات من نوع .txt وامتدادات اخري كذلك،
وهو ما يتيح للمهاجم في العديد من الحالات التحكم بالخادم الذي يشغل الموقع او إستخدامه في إختراق مستخدميه.
وهو ما يتيح للمهاجم في العديد من الحالات التحكم بالخادم الذي يشغل الموقع او إستخدامه في إختراق مستخدميه.
كما يمكن للمهاجمين رفع ملفات .txt تحمل أوامر معينة .. ويستخدمون تلك الاوامر في توجيه الأجهزة المخترقه من خلالهم فيقوم الجهاز المخترق بزيارة الصفحة المرفوعه علي تويتر من قبل المهاجم وياخذ الاوامر ويقوم بتنفيذها .. وبما ان موقع تويتر هو موقع لا يثير الشكوك مطلقا لانه موقوع موثوق .. فلن يثير ذلك شكوك المستخدمين او من يقومون بتحليل البرمجيات الضارة.
موقع توتير للمطورين يتيح لهم رفع ايقونة للتطبيقات التي يقومون بتطويرها للعمل مع موقع توتير. ومع أن الموقع يقوم بفحص الملفات المرفوعة ويحصرها في ثلاثة انواع وهي PNG، GIF و JPEG وهي انواع ملفات خاصة بالصور، إلا أنّ حجازي تمكن من تجاوز آليات الفحص ورفع ملف PHP
الفيديو الاتي يظهر الثغرة وكيف عثر عليها الباحث الامني
الفيديو التالي يظهر الاستغلال
التبليغ عن الثغرة
قام الباحث الامني بالتواصل مع توتير للابلاغهم بوجود الثغرة والعمل على ترقيعها قبل نشرها التفاصيل. هذه الخطوة هامة جدا لانها تظهر ان الباحث يهتم بأمن المستخدمين وليس فقط الشهرة، وهذا ما نحترمه جدا في مجتمع الحماية العربي ونحث الباحثين الامنيين العرب على القيام به.
شرح إختراق الفيسبوك عن طريق برمجيات الطرف الثالث المستخدمة في حساباتنا (Third party Applications)
برمجيات الطرف الثالث المستخدمة في حساباتنا (Third party Applications)
المقصود بهذه الجملة هي البرمجيات (applications) التي لم يتم برمجتها بواسطة الفيس بوك ولكنها تستخدم لإضافة ميزات لحسابك في فيس بوك .. مثل برمجيات الألعاب, وبرمجيات المحادثة او برمجيات الأخبار .. أمثلة علي ذلك:
المزرعة السعيدة .. Skype .. اعرف من اكثر صديق مقرب إليك .. اعرف من زار بروفايلك .. اعرفي اسم زوجك المستقبلي!
المقصود بهذه الجملة هي البرمجيات (applications) التي لم يتم برمجتها بواسطة الفيس بوك ولكنها تستخدم لإضافة ميزات لحسابك في فيس بوك .. مثل برمجيات الألعاب, وبرمجيات المحادثة او برمجيات الأخبار .. أمثلة علي ذلك:
المزرعة السعيدة .. Skype .. اعرف من اكثر صديق مقرب إليك .. اعرف من زار بروفايلك .. اعرفي اسم زوجك المستقبلي!
وغيرها من البرمجيات التي نستخدمها في حساباتنا . ولكن!
عندما تقوم بالإشتراك في أحد هذه البرمجيات ستأتيك رسالة تخبرك بالتالي وتطلب منك تأكيد ذلك:
هل تري مقدار البيانات التي سيتمكن هذا التطبيق من الحصول عليها في حسابك بمجرد الموافقة علي الاشتراك فيه؟!!
عندما تقوم بالإشتراك في أحد هذه البرمجيات ستأتيك رسالة تخبرك بالتالي وتطلب منك تأكيد ذلك:
هل تري مقدار البيانات التي سيتمكن هذا التطبيق من الحصول عليها في حسابك بمجرد الموافقة علي الاشتراك فيه؟!!
ولكن للأسف المشكلة انه ﻻ أحد يقرأ اصلا ما هو مكتوب .. فلدينا ثقافة “أضغط Next حتي النهاية!”
الكثير من هذه البرمجيات يكون خطير جدا حيث يمكن لصاحب هذه البرمجيات التحكم في حساباتنا بشكل كامل مثل النشر علي صفحتنا والحصول علي نسخه من البريد ألإلكتروني و الصور الخاصة بنا إلخ.
وهنا شرح فيديو لأحد مكتشفي الثغرات يستخدم ثغره في أحد البرمجيات علي الفيس بوك لإختراق المستخدمين والتحكم بحساباتهم:
كيف أحمي نفسي من هذا النوع من الاختراقات؟
1- ﻻ توافق علي هذه البرمجيات إلا الموثوق منها فقط
2- لا تسمح بالبرمجيات التي ستحصل علي صلاحية كاملة علي حسابك!
3- تأكد من البرمجيات الموجودة في حسابك من خلال الرابط التالي وقم بحذف البرمجيات التي تشك بأمرها أو لم تعد تستخدمها
https://www.facebook.com/settings?tab=applications
1- ﻻ توافق علي هذه البرمجيات إلا الموثوق منها فقط
2- لا تسمح بالبرمجيات التي ستحصل علي صلاحية كاملة علي حسابك!
3- تأكد من البرمجيات الموجودة في حسابك من خلال الرابط التالي وقم بحذف البرمجيات التي تشك بأمرها أو لم تعد تستخدمها
https://www.facebook.com/settings?tab=applications
فيديو إختبار الاختراق عن طريق sql injection
السلام عليكم ورحمة الله وبركاته
في هده الحلقة من حلقات المعلم الرقمي سنتعرف على أخطر ثغرات الويب وسنتعرف ايضا على كيفية استغلالها
sql injection . لا يخفى على أحد أهمية ثغرات حقن قواعد البيانات ومدى خطورتها على المواقع والتطبيقات و بالطبع على المعلومات. في هذا الموضوع سأشرح كيفية استغلالها بطرق مختلفة .
هدا هو فيديو إختبار إختراق sql injection :
هاكر مغربي يكتشف ثغرة جديدة في فيسبوك
لقد تمكن هاكر أخلاقي مغربي من إكتشاف ثغرة جديدة في الفيسبوك وهي عبارة عن URL Redirection . وحسب الهكر فقد قام بمراسلة إدارة الفيسبوك لاغلاق الثغرة . وقد قامت باغلاقها .
وقد شرح لنا الهاكر أنا هذه الثغرة خطيرة بحيث أنها تقوم باعادة توجيه الضحية من موقع الفيسبوك إلى موقع أخر .
و هذا فيديو لثغرة :
الجيش السوري الإلكتروني يخترق أهم المواقع القطرية
قام
الجيش السوري الإلكتروني – المعروف بتأييده لنظام بشار الأسد – من جديد بهجوم آخر، هذه المرة، قاموا باختراق أهم المواقع التابعة لدولة قطر –
.qa – وتغيير سجلَّات DNS لها.
قائمة المواقع
القطرية التي تأثرت بذلك الهجوم طويلة إلى حَدٍّ ما، وتشمل قوقل قطر! وفيس
بوك، وفودافون، والجزيرة، واتصالات قطر، وموقع الشيخة موزة.
كما تم اختراق
مواقع أخرى تابعة للحكومة والمؤسَّسَات العسكرية، بما في ذلك وزارة الشؤون
الخارجية، وبوَّابة حكومة قطر، والقوات المسلَّحة القطرية، ووزارة
الداخلية، وغيرها.
في وقت كتابة
هذا المقال، مازالت هذه المواقع إما عليها صور الهجوم وأو تم إيقافها
تماماً لحين إصلاحها من جديد، علماً بأن بعض المواقع المتخصصة في الاختراق
قد راسلت أعضاء الجيش السوري الإلكتروني حول دوافعهم لاستهداف قطر، إلا
أنَّهم إلى الآن لم يجيبوا على أي استفسار.
الأمر ليس بحاجة
إلى رسائل واستفسارات، فإن الدوافع لمهاجمة قطر هي على الأرجح سياسيَّة،
وهذه ليست المرة الأولى لتخترق جماعة الجيش السوري نطاقات قطرية.
