الكشف عن ثغرة SQL Injection تعرضت لها Yahoo قبل أشهر

تعتبر شبكة Yahoo Contributors عبارة عن شبكة يتم من خلالها مشاركة المقالات و الصور و الفيديوهات من قبل الأفراد و يتم زيارتها أكثر من 600 مليون زيارة في الشهر. تعرضت هذه الشبكة قبل عدة أشهر الى ثغرة حقن قواعد بيانات من نوع Blind Time-Based SQL Injection.

حيث قام الباحث الامني Behrouz Sadeghipour بإبلاغ شركة Yahoo عبر موقعها عن هذه الثغرة و التي تمكن المخترقين الوصول الى مختلف البيانات على قاعدة بيانات الموقع و التحكم بها. تمت هذه العملية قبل عدة اشهر و قد تم اصلاح هذا الخلل البرمجي خلال شهر تقريبا من وقت ابلاغه عن هذه الثغرة. بعدها قررت شكرة Yahoo إيقاف هذه الشبكة بسبب تناقص الشعبية الخاصة بها في الفترة السابقة, كما أنها قررت أن تحذف جميع المحتويات الموجودة عليها من شبكة الإنترنت.

يذكر بأن الباحث الأامني قد عثر على هذه الثغرة في الرابطين التاليين في الموقع :

http://contributor.yahoo.com/forum/search/?

http://contributor.yahoo.com//library/payments/data-table/?

يذكر بأنه في عام 2012 تم إختراق الشبكة بواسطة مجموعة تطلق على نفسها D33DS Company حيث سرقت حينها حوالي نصف مليون بيانات دخول للمستخدمين !!!

هذا و قد قمنا في موقع تكناوي.نت بتقديم مجموعة من الفيديوهات التي تشرح هذه الثغرة و كيفية اكتشافها و استغلالها و ذلك عبر الروابط التالية :

فيديو – إكتشاف و إستغلال ثغرة SQL Injection من نوع Union Based

اكتشاف و استغلال ثغرة SQLi و رفع Shell Script

لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

عن محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

four × 5 =

This site uses Akismet to reduce spam. Learn how your comment data is processed.