1. المٌقدمة الأولي :دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    تٌعد ثغرات حقن قواعد البينات الثغرة رقم واحد فى العالم والمصنفة تحت بند الإخطر
    والفريق التابع له بإختراق أكبر المواقع الصهيونية قرائة الموضوع
  2. المٌقدمة الثانية : دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    في هذه المٌثقدمة الثانية والأخيرة سوف نتعرف على قواعد علم حقن قواعد البيانات
    حتى يتثنى لنا علم يٌساعدنا على القيام بعمليات الحقن بالطرق الصحيحه قرائة الموضوع
  3. دورة كشف دمج والتلغيم حصريا على أرض عراق تيم(2017)
    بعد ماقمت بعمل دورة الكشف دمج والتلغيم وستكملت الدوره وتحتوي على 12 درس
    كانت دروس حصريا على عراق تيم وشرح واضح جدا ومفهوم الى المبتدأ والى المبدع قرائة الموضوع

ثغرة تطبيق الأوامر في Google drive خطر أمني

الموضوع في 'أمن المعلومات العام' بواسطة Dr.aL-jArH, بتاريخ ‏16 مارس 2013.

كاتب الموضوع : Dr.aL-jArH المشاهدات : 1,863 الردود : 3 ‏16 مارس 2013
حالة الموضوع:
مغلق
  1. غير متصل

    Dr.aL-jArH
    DeveloPer Plus

    عضو منذ:
    ‏24 أغسطس 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:

    السلام عليكم ورحمة الله وبركاته

    بسم الله ​

    [​IMG]

    مرة أخرى فريق جول الأمني يقوم بخداع نفسه , قام Ansuman Samantaray باحث أمني هندي بإكتشاف ثغرة أمنية صغيرة لكن مبدعة في Google drive التي تشكل خطر كالسبام و التحايل على الملايين من مستخدمي Google drive التي تجاهلها الفريق الأمني لجوجل قائلا عنها : " إنها محاولة تحايل ليس إلا, وهي ليست ثغرة في جوجل ".​

    وفق ما قاله Ansuman Samantaray أنه أبلغ عن هذه ثغرة تطبيق الأوامر في Google drive في 20 ديسمبر 2012 لفريق الأمني لجوجل و في اليوم التالي إكتشافه تم رفضه من طرف جوجل لتجنب إدخاله في منتدى صائدي ثغرات جوجل .​

    القدرة على تطبيق أوامر خبيثة عبر Google drive تشكل خطر أمني كبير, وليس إحتيال أو سبام فقط. يمكن أن تتطور لنشر برمجيات خبيثة حسب إبداع المهاجم في إستعمال الأوامر.​

    الخطأ يكمن في طريقة معاينة الملفات لـ Google drive في المتصفح. يمكن تطبيق الأوامر المكتوبة في الملف عن طريق لغة HTML/JavaScript بتغيير المتغير "export" الموجود في الرابط.​


    عندما يقوم المستخدم بإنشاء أو رفع ملف في Google Drive/Docs فإن الرابط لذلك الملف يحتوي على المتغير "Export" يقابل المتغير "Download" إفتراضيا, وذلك ليتمكن المستخدم من تحميل الملف فقط.

    لكن Ansuman وجد إذا قام المهاجم بتغيير المتغير "Download" إلى "View" فإن الكود المكتوب بواسطة المهاجم سوف يتم تطبيقه في المتصفح.​


    [​IMG]

    للإيضاح تم إنشاء ملف هنا بالمتغير عادي "Download" سوف يقوم بتحميل الملف مثلا هنا​

    وهنا تم إنشاء نفس الملف ولكن بتغيير المتغير إلى "View" هنا سوف يقوم بتطبيق الكود مثلا هنا ​


    مثلا هنا كود جافا يظهر مطالبة وهمية بباسوورد تسجيل الدخول للإطلاع على الملف ​

    [​IMG]


    إذا تم الأمر بنجاح, سوف يتم تخزين باسوورد الضحية في موقع أخر من هنا , ويتم إعادة توجيه الضحية إلى Google drive .​

    [​IMG]

    منقول للأمانه !!:{
     


    جاري تحميل الصفحة...
  2. غير متصل

    ĸʜɜʟɛɒ
    Active DeveloPer

    عضو منذ:
    ‏3 نوفمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    3
    نقاط الجائزة:
    الإقامة:

    رد: ثغرة تطبيق الأوامر في Google drive خطر أمني

    تسلم ياغالي بارك الله بيك​
     


  3. غير متصل

    ADNAN
    Developer

    عضو منذ:
    ‏29 أكتوبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    الإقامة:

    رد: ثغرة تطبيق الأوامر في Google drive خطر أمني

    وعليكم السلام

    يعطيك العافية لمجهودك ​
     


  4. غير متصل

    mr.mourad <span style="font-weight: bold; text-shadow: #BBBB
    V • I • P

    عضو منذ:
    ‏8 يوليو 2013
    عدد المشاركات:
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:

    رد: ثغرة تطبيق الأوامر في Google drive خطر أمني

    يعطيك العافية :{1}:
     


حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...