خوش آمدید

کسب و کار شما دچار افت در سود دهی شده ؟

با پیشرفت علم و تکنولوژی ، داشتن یک وب سایت جهت پیشرفت و شناخته شدن بهتر کسب و کار شما ، در اکثر زمینه ها ضروری است.
همین حالا شروع کنید
  • طراحی وب سایت

    طراحی وب سایت با بهره گیری از آخرین تکنولوژی ها

  • سئو

    جستجوی اول در گوگل شما باشید

  • وب اپلیکیشن

    ساخت برنامه اندروید برای وب سایت شما

  • مشاوره

    نمیدانید از کجا شروع کنید برای ساخت یک وب سایت ؟
    021.22338921

عدم امنیت در JQuery در وب‌سایت‌هایی که از wordpressو jomla استفاده می‌کنند

 

وردپرس و جوملا از جمله پر استفاده‌ترین سیستم‌هایی که امروزه  از سیستم‌‌های مدیریت محتوا (CMS) استفاده می‌کنند به شمار میرود اما بنابر آخرین تحقیقات صورت گرفته ، یک آسیب‌پذیری و عدم امنیت در کتابخانه‌ی جاوا اسکریپت JQuery باعث شده تا وب‌سایت‌هایی که از این دو سیستم بهره می‌برند تحت‌تاثیر قرار گیرند.

محققان به تازگی دریافتند که  هکرها می‌توانند از طریق مشکل امنیتی جدید که در کتابخانه‌ی جاوا اسکریپت پر استفاده JQuery پیدا شده است ، به میلیون‌ها وب‌سایتی که از سیستم‌های مدیریت محتوای وردپرس و جوملا بهره می‌برند، نفوذ کنند.

بر طبق گفته‌ی محققان، اسکریپت‌های جعلی JQuery در بیش از ۷۰ میلیون فایل منحصر به‌فرد وجود دارند. از نوامبر ۲۰۱۵ جمعا وب‌سایت‌های ۴/۵ میلیون کاربر تحت‌تاثیر این مشکل قرار گرفته بودند که این مقدار تعداد بسیار زیادی به حساب می‌آید.

 

بر طبق گفته‌های شرکت امنیتی Avast، حملات جعلی جی‌کوئری جدیدا به روشی پر استفاده برای نفوذ به وب‌سایت‌ها مبدل شده است. در پستی که در بلاگ شرکت امنیتی یاد شده منتشر شده، این تیم اعلام کرده که روش هکی که طی چند ماه اخیر برای نفوذ به وب‌سایت‌های وردپرسی و جوملایی مورد استفاده قرار گرفته، بهره گرفتن از اسکریپت‌های جعلی در جی‌کوئری بوده است. از آنجا که این دو سیستم مدیریت محتوا از پر استفاده‌ترین CMSها هستند، بنابراین می‌توان گفت تعداد بسیار زیادی از وب‌سایت‌ها هم اکنون تحت‌تاثیر این مشکل امنیتی قرار دارند.

اگر با طراحی وب آشنایی داشته باشید حتما می‌دانید که JQuery هم یکی از محبوب‌ترین و پر استفاده‌‌ترین کتابخانه‌های جاوا اسکریپت است که هدف آن استفاده‌ی آسان از جاوا اسکریپت در وب بوده و در تمامی مرورگرها نیز به یک شکل اجرا می شود. این کتابخانه همچنین ابزارها و ویژگی‌های بسیار کاربردی و مناسبی را به توسعه‌دهندگان وب ارائه می‌کند که باعث سرعت بخشی به فرآیند توسعه می‌شود و همین عامل باعث شده بسیاری از افراد و شرکت‌ها از جمله دو سیستم مدیریت محتوای مورد اشاره از آن در پروژه‌های خود استفاده کنند.از آنجا که نوشتن کد به زبان اصلی جاوا اسکریپت سخت بوده و زمان بیشتری را از توسعه‌دهنده می‌گیرد، استفاده از کتابخانه‌های آماده مانند جی‌کوئری این فرآیند را آسان‌تر و سریع‌تر می‌کند.

محققان در توضیح این مشکل گفته‌اند که در مرحله‌ی آخر با استفاده از یک شرط IF بررسی می‌شود که متغیرها دارای مقدار مورد نیاز باشند تا سرانجام اسکریپت اصلی که در سرور دیگری ذخیره شده، اجرا شود.

کدهای مخرب مورد بحث برای وب سایت‌های قربانی و نیز بازدیدکنندگان آن‌ها قابل مشاهده نیست. در عوض اسکریپت‌های جعلی JQuery را می‌توان از طریق کد منبع صفحات دید. اسکریپت یاد شده بسیار ساده است و شامل تعداد کمی متغیر و دستور IF است که از طریق وب سایت آلوده شده، به سورس جاوا اسکریپت دیگری که در یک فضای وب دیگر ذخیره شده، متصل می‌شود.

مشکل امنیتی مورد اشاره می‌تواند در ۱۰ میلی‌ ثانیه اجرا شود. این زمان در انوع حملاتی که شناخته شده، معمول به شمار می‌آید؛ هرچند که تاخیر طولانی در اجرای چنین کدهایی اساسا وجود دارد. کد مورد بحث از بخشی که در آدرس URL کاراکترهای خاصی مانند @  یا ? و … را به صورت کد شده در می‌آورد، استفاده می‌کند.

زمانی که حلمه انجام شد، کد یاد شده باعث بالا رفتن امتیاز SEO (بهینه سازی برای موتورهای جستجو) دامنههای دیگر می‌شود که این موضوع نه تنها باعث افزایش بازدید وب‌سایت‌های مورد نظر هکر می‌شوند، بلکه امکان دارد مجرمان سایبری که از این روش بهره می‌برند، با نمایش تبلیغات در وب‌سایت قربانی، به کسب درآمد نیز بپردازند.

مدیران سایت‌ها باید فضای وب‌سایت خود را با روش‌های موجود اسکن کنند تا بتوانند این آسیب‌پذیری را تا جایی که امکان دارد شناسایی کنند. همچنین بروزرسانی وب‌سایت‌هایی که از وردپرس و جوملا استفاده می‌کنند احتمالا می‌تواند این مشکل را حل کند؛ چرا که با توجه به کاربران زیادی که این دو سیستم دارند، قطعا برای رفع مشکل امنیتی مورد بحث سریعا اقدام خواهد شد و بروزرسانی آن نیز منتشر می‌شود.

 

اطلاعات تکمیلی

نویسنده : alireza / نوشته شده در تاریخ : ۱۹ مهر ۱۳۹۵ / دسته بندی : دسته‌بندی نشده, طراحی وب, مقالات

دیدگاه شما

( الزامي )نام :
(الزامي)ايميل

پشتیبانی : 7152821-0912 , 22338921-021
ContactUs Lastech Lastech in Google+ Lastech in Facebook lastech in Instagram lastech in Telegram
تمامی حقوق مادی و معنوی برای پویافناوران محفوظ میباشد و طبق ماده 12 قانون جرائم رایانه هرگونه کپی برداری ممنوع بوده و پیگرد قانونی دارد.