إكتشاف ثغرة امنية في شركة الأمن والحماية ESET Smart Security







الموافق في 17 ابريل تمكنت من اكتشاف ثغرة امنية في شركة سمارت سيكورتي وهي من نوع clear submission of password وتكمن الية هذا الثغرة في ان الموقع يقوم بارسال اسم المستخدم وكلمة المرور على شكل plain text ليتم الدخول الى المتجر الخاص للشركة .
طبعا خطورة هذه الثغرة تكمن في عدة جوانب اذا ان المخترق يستطيع ايضا القيام بعمل هجوم brute force مستغلا هذا النوع من الثغرات وذلك باستخدام احدى ادوات الحماية burp suit عن طريق intruder 
كم ان الجانب السلبي والخطير لهذه الثغرة اذا ان المختراق يستطيع القيام بهجموم الرجل في المنتصف man in middle attack والحصول على كلمة السر الخاصة بك . 
كيف  تم اكتشاف الثغرة ؟ 
من اهم الادوات التي انصح باستخدمها هي اداة burp suit حيث قمت بفحص الموقع عن طريقها واعتراض البيانات الخاصة بدخول المستخدمين . وبعد ان اتممت ذلك لاحظت ان كلمة المرور ترسل بصورة غير صحيحة الامر الذي قد يعرض الاخرين لعمليات احتيال او القيام بعمل هجوم عنيف على حساب المستخدمين . لذلك بعد تحديد مكان الضعف البرمجي قمت باستخدام اداة الاعتراض التلقائي intruder والتي يستطيع المختراق استخدمها في هذا النوع من الثغرات . وعند بدء الهجوم كانت النتيحة ان المختراق يستطيع القيام بهذا النوع من الهجوم بسهولة تامة . كم انه يستطيع عمل تنصت او القيام بهجوم الرجل في المنتصف كما شرحت سابقا 
بعد تبليغ الشركة عن الثغرة الامنية ؟ 
بعد ان وثقت الثغرة الامنية تواصلت مع شركة الحماية واطلعتهم على ذلك . وتم منحي licence لمدة سنة بالاضافة الى شهادة تقدير تفيد بتاكيد الثغرة الامنية واصلاحها 




الكاتب : لورانس عامر 

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي