By Unknown
Posted at 3:10 ص
ابراهيم حجازي، شاب عربي يعمل باحثاً أمنياً في في مجال إكتشاف ثغرات
برمجيات المواقع Web Applications. حجازي اكتشف العديد من الثغرات الخطيرة
في مواقع شركات كبيرة مثل مايكروسوفت وغوغل و فيسبوك وآخر اكتشافاته ثغرة
خطيرة في موقع توتير للمطورين.
شركة توتير كمكافأة منها للباحث الشاب قامت بنشر اسمه ضمن قائمة الشرف الخاص بأمن الموقع (https://twitter.com/about/security)
تفاصيل الثغرة
الثغرة التي تم اكتشفها تسمح للمهاجم برفع ملفات تشغيلية من نوع PHP
(احدى اللغات المستخدمة في تطوير مواقع الانترنت) أو ملفات من نوع .txt
وامتدادات اخري كذلك،
وهو ما يتيح للمهاجم في العديد من الحالات التحكم بالخادم الذي يشغل الموقع او إستخدامه في إختراق مستخدميه.
كما يمكن للمهاجمين رفع ملفات .txt تحمل أوامر معينة .. ويستخدمون تلك
الاوامر في توجيه الأجهزة المخترقه من خلالهم فيقوم الجهاز المخترق بزيارة
الصفحة المرفوعه علي تويتر من قبل المهاجم وياخذ الاوامر ويقوم بتنفيذها ..
وبما ان موقع تويتر هو موقع لا يثير الشكوك مطلقا لانه موقوع موثوق .. فلن
يثير ذلك شكوك المستخدمين او من يقومون بتحليل البرمجيات الضارة.
موقع توتير للمطورين يتيح لهم رفع ايقونة للتطبيقات التي يقومون
بتطويرها للعمل مع موقع توتير. ومع أن الموقع يقوم بفحص الملفات المرفوعة
ويحصرها في ثلاثة انواع وهي PNG، GIF و JPEG وهي انواع ملفات خاصة بالصور،
إلا أنّ حجازي تمكن من تجاوز آليات الفحص ورفع ملف php
ابراهيم حجازي
About the Author
مهوس انترنت ومصمم فوتشوب 15 سنه موليد 1998 بداء مشوري في انترنت 2010 الى حت الان.
View all posts by: BT9
راحت علينا
ردحذف