کشف باگ CSRF در بخش مدیریت vBulletin 4.2.2

این باگ می تواند منجر به هک شدن وبسایت شما شود…!

کشف باگ CSRF در بخش مدیریت vBulletin 4.2.2

 

کشف باگ CSRF در بخش مدیریت vBulletin 4.2.2

کشف باگ CSRF در بخش مدیریت vBulletin 4.2.2

به تازگی یک آسیب پذیری جدید در بخش مدیریت vBulletin  کشف شده است . ظاهرا این باگ مربوط به ماژول CP این اسکریپت انجمن ساز معروف و پر طرفدار می باشد . و به دلیل private بودن این آسیب پذیری هنوز راه حلی برای رفع این مشکل پیدا نشده است . در ضمن این آسیب پذیری درمرورگر های فایرفاکس و گوگل کروم تست شده است و در صورت استفاده  از این مرورگر ها نیز از خطر حمله هکرها با استفاده از این آسیب پذیری در امان نیستید !

اما باگ CSRF چیست ؟

Cross-Site Request Forgery یک آسیب پذیری در عملیات مخصوص کاربرهای یک سایت است که امکان میدهد این عملیات مخصوص مدیر یا کاربر بدون در نظر گرفتن شرایط امنیتی لازم با کلیک شدن بر روی یک لینک یا استفاده از یک SESSION  یا حتی مشاهده یک عکس توسط کاربر اتفاق بیفتد مثلا پسورد مدیر سایت تنها با کلیک کردن مدیر روی یک لینک ارسال شده در محیط چت یا ایمیل تغییر کند یا پول یا پیغامی به حساب کاربر دیگر منتقل شود بدون اینکه کنترل شود آیا کاربر واقعا قصد انجام این کار را دارد یا خیر . در واقع اینجا سایت به درخواست های ارسال شده از طرف کاربر اعتماد می کند در صورتی که کاربر از اتفاقی که در حال رخ دادن است مطلع نیست . معمولا برای رفع این مشکل امنیتی از token ها برای اطمینان از صحت درخواست کاربر استفاده می شود بطوری که درخواست های ارسالی به سایت باید حاوی یک توکن بوده که تنها از طریق سایت در اختیار کاربر قرار داده می شود و هکرها از آن مطلع نیستند و در صورتی که توکن ارسال شده به سایت با توکن کاربر مطابقت نداشته باشد درخواست رد می شود .

تگ ها : کشف باگ CSRF در بخش مدیریت vBulletin 4.2.2 , آسیب پذیری,باگ CSRFX باگ جدید, باگ ویبولتن, ویبولتن 4.2.2
امنیت ویبولتن, امنیت سایت

0 نظر

پاسخ دهید

می خواهید به بحث بپیوندید ؟

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شما می‌توانید از این دستورات HTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">