کاربر عزیز ! اگر میخواهید به طور لحظه ای از بروز رسانی نرم افزار مورد نظر خود آگاه شوید و ایمیل بروز رسانی برنامه مورد نظر خود را در لحظه دریافت نمایید و فهرست برنامه های منتخب خود را در محیط کاربری خود ذخیره کنید همچنین دسترسی به تمامی برنامه های مخصوص اعضای ویژه(VIP) داشته باشید، با پرداخت ماهیانه فقط 2900 تومان از این امکان بهره مند شوید
عضویــــــت
x
بستن
 
آنلاین: 4809 نفر | تعداد برنامه ها: 5743 | مشاهده و دانلود: 391119314 | آخرین بروزرسانی: 2 ساعت و 21 دقیقه و 26 ثانیه پیش | اعضاء: 229586 | نظرات: 34964
جار میزنم samtik.com سرور آپدیت نود 32

سافت گذر دانشنامه نرم افزار - دانلود رایگان نرم افزار

سرور آپدیت نود 32
خرید گیفت کارت
مناسب ترین قیمت با ارائه آنی اسکن کارت
Geefti.com
سلامت
سلامتیسم ، سلامت و سبک زندگی
salamatism.com
دانلود آهنگ جدید
ایران موزیک
iranmusic.ir
خرید هاست
میهن وب هاست
mihanwebhost.com
رزرو هتل
رزرو هتل
eghamat24.com
تور لحظه آخری
تور لحظه آخری
arshinparvaz.com
تور مشهد
تور مشهد
alefbatour.com
طراحی سایت
طراحی سایت
www.papgroup.ir
مبل
مبلمان سام اکسون
samexxonsofa.com
سافت گذر

دروغ روز اول آوریل گوگل مشکل جدی را به وجود آورده است

همان طور که پیش‌تر در زومیت خواندید گوگل همانند دیگر کمپانی‌ها برای روز اول آوریل امسال دروغ‌های متنوعی را در نظر گرفته بود که نسخه‌ی برعکس سایت گوگل یکی از آن‌ها بود؛ اما به تازگی این شوخی و دروغ، نقص امنیتی جدی را برای این کمپانی به وجود آورده است.

به گزارش سافت گذر به نقل اززومیت؛ گوگل در روز اول آوریل نسخه‌ی برعکس سایت خود را راه اندازی کرده بود. این سایت آدرس com.google را داشته و زمانی که کاربران به آن رجوع می‌کردند با نوشته‌های برعکس شده‌ مواجه می‌شدند. حال به نظر می‌رسد این شوخی مشکلی جدی را برای گوگل به همراه دارد. دامنه com.google موجب ایجاد نقص امنیتی و حملات click-jacking شده است.

کلیک دزدی یا حملات Click jacking روش هوشمندانه‌ای است که هکرها برای ترغیب کاربران به کلیک کردن روی آیکن یا فایلی ویروسی به کار می‌گیرند. در این روش کاربر بدون این که بداند ممکن است با یک کلیک کردن ساده چه اتفاقات ناگواری برای سیستمش رخ بدهد، در دام هکرها می‌افتد. این تکنیک به شکل‌های مختلفی ظاهر می‌شود؛ به عنوان مثال آگهی‌های تبلیغاتی و یا جملاتی مانند «هرگز روی این فایل کلیک نکنید» که می‌تواند هر کاربری از مبتدی گرفته تا پیشرفته را دچار وسوسه برای کلیک کردن کند. این حملات زمانی اتفاق می‌افتد که قربانی تصور می‌کند درحال کلیک بر روی موضوع خاصی است در حالی‌ که در واقع روی لینک دیگری کلیک می‌کند.

آسیب‌پذیری‌های موجود هکرها را قادر می‌کند تا تنظیمات جستجوی کاربر مانند فیلتر SafeSearch یا جستجوی ایمن را تغییر دهند. در صفحه اصلی گوگل یعنی google.com، تنظیمات کد X-Frame در این صفحه طوری تنظیم شده که مانع از نمایش این صفحه در سایر وب‌سایت‌ها با کد iframe می‌شود؛ از طرفی گوگل در روز اول آوریل برای نمایش دادن نسخه‌ی برعکس این سایت از پارامتر igu=2 استفاده کرده است. این پارامتر  باعث شده که امکان نمایش برعکس سایت فراهم شود، اما یک مشکل دیگر را هم ایجاد کرده که آن هم باعث شده بود تا سرور تنظیمات هدر X-Frame را نادیده بگیرد. به همین دلیل هکرها به راحتی می‌توانستند با استفاده از کد iframe در یک دامنه خارجی کاربران را برای تغییر تنظیمات جستجو فریب دهند.

در کدهای زیر می‌توانید بک جستجوی گوگل را به همراه کد X-Frame مشاهده کنید:

HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 35486
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:54:14 GMT
Expires: Wed, 01 Apr 2015 09:54:14 GMT
Server: gws
[Set-Cookie: [redacted
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15

حال همانند کدهای زیر اگر از پارامتر igu=2 استفاده کنیم، پارامتر X-Frame-Options حذف شده و هکر به راحتی می‌تواند از آن سوءاستفاده کند:

HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 33936
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:58:30 GMT
Expires: Wed, 01 Apr 2015 09:58:30 GMT
Server: gws
[Set-Cookie: [redacted
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15

هکر با استفاده از کدهایی که اشاره شد قادر است نتایج جستجوی گوگل را در قالب کد iframe در وب‌سایت خود قرار داد؛ در نهایت می‌تواند با دستکاری کدهای صفحه‌ی اول گوگل و قرار دادن کدهای دلخواه هود نتایج جستجوی نامطلوبی را برای کاربر به نمایش درآورد. گوگل پس از مطلع شدن از این نقص امنیتی سریعا آن را برطرف کرد.

کد خبر: 26107 گروه خبری: اخبار امنیت و ویروس منبع خبر: zoomit.ir تاریخ خبر: 1394/01/31 تعداد مشاهده: 936
سافت گذر
نام و نام خانوادگی:
نظر شما:
لطفاً فارسی بنویسید
ایمیل:
نام پایتخت ایران؟
» ایمیل وارد شده نمایش داده نمی شود و فقط برای ارتباط با شما مورد استفاده قرار می گیرد.