قام أحد الباحثين عن الثغرات ويدعى إبراهيم حجازى من مصر باكتشاف ثغرة أمنية تسمح له باختراق ياهو, مايكروسوفت و Orange.
.jpg)
وبينما كان يبحث عن الثغرات كما العادة فادا به يصادف خلل أمني في مجالات ياهو وموقعها، وأكتشف أن هناك صفحة على الأنترنت تابعة لياهو والتي سمحت له بتحميل ملف aspx الى القائمة الخاصة بالموقع والتعديل على ملفات aspx الأخرى.
وجاء تفسيره للثغرة بهدا الشكل :
يمكنك فقط إنشاء ملف جديد عن طريق إرسال طلب POST إلى العنوان الأتي :
" http://mx.horoscopo.yahoo.net/ymx/editor/inc/GenerateFile.aspx "
ابراهيم قام فقط بتحميل ملف يسمى " zigoo.aspx " مع وضع بعض الكلمات البسيطة داخل الملف, ودالك لمعرفة مجالات ياهو التي تأثرت من نفس الثغرة. والتي سيظهر عليها التغيير, فاكتشف أن المجالات التي تأترث بالثغرة هي :
horoscopo.yahoo.net ، astrocentro.latino.msn.com ، horoscopo.es.msn.com ، astrologia.latino.msn.com ، horoscopos.prodigy.msn.com, astrocentro.mujer.orange.es .
وأضاف انها الحقيقة المثيرة للاهتمام حول هذه الثغرة هو أن ملف "zigoo" الدي تم تحميله في نطاق ياهو ينعكس في مجالات أخرى أيضا . ,بعد تقديم التقارير إلى ياهو، قامت ياهو بماكفأت الباحث. وكما كالعادة مايكروسوفت لم تعطي أي مكافأة ولم ترد على الثغرة الى حدود الساعة .
ليست هناك تعليقات:
إرسال تعليق