الموافق في 17 ابريل تمكنت من اكتشاف ثغرة امنية في شركة سمارت سيكورتي وهي من نوع clear submission of password وتكمن الية هذا الثغرة في ان الموقع يقوم بارسال اسم المستخدم وكلمة المرور على شكل plain text ليتم الدخول الى المتجر الخاص للشركة .
طبعا خطورة هذه الثغرة تكمن في عدة جوانب اذا ان المخترق يستطيع ايضا القيام بعمل هجوم brute force مستغلا هذا النوع من الثغرات وذلك باستخدام احدى ادوات الحماية burp suit عن طريق intruder
كم ان الجانب السلبي والخطير لهذه الثغرة اذا ان المختراق يستطيع القيام بهجموم الرجل في المنتصف man in middle attack والحصول على كلمة السر الخاصة بك .
كيف تم اكتشاف الثغرة ؟
من اهم الادوات التي انصح باستخدمها هي اداة burp suit حيث قمت بفحص الموقع عن طريقها واعتراض البيانات الخاصة بدخول المستخدمين . وبعد ان اتممت ذلك لاحظت ان كلمة المرور ترسل بصورة غير صحيحة الامر الذي قد يعرض الاخرين لعمليات احتيال او القيام بعمل هجوم عنيف على حساب المستخدمين . لذلك بعد تحديد مكان الضعف البرمجي قمت باستخدام اداة الاعتراض التلقائي intruder والتي يستطيع المختراق استخدمها في هذا النوع من الثغرات . وعند بدء الهجوم كانت النتيحة ان المختراق يستطيع القيام بهذا النوع من الهجوم بسهولة تامة . كم انه يستطيع عمل تنصت او القيام بهجوم الرجل في المنتصف كما شرحت سابقا
بعد تبليغ الشركة عن الثغرة الامنية ؟
بعد ان وثقت الثغرة الامنية تواصلت مع شركة الحماية واطلعتهم على ذلك . وتم منحي licence لمدة سنة بالاضافة الى شهادة تقدير تفيد بتاكيد الثغرة الامنية واصلاحها
الكاتب : لورنس عامر
منظمة الهكر
الرئيسية
أحدث الصور
التسجيل
دخول
الثلاثاء يناير 11, 2022 1:52 am من طرف 
