کشف باگ CSRF در بخش مدیریت vBulletin 4.2.2

[mehrpardakht]

کشف باگ CSRF در بخش مدیریت vBulletin 4.2.2

به تازگی یک آسیب پذیری جدید در بخش مدیریت vBulletin کشف شده است . ظاهرا این باگ مربوط به ماژول CP این اسکریپت انجمن ساز معروف و پر طرفدار می باشد . و به دلیل private بودن این آسیب پذیری هنوز راه حلی برای رفع این مشکل پیدا نشده است . در ضمن این آسیب پذیری درمرورگر های فایرفاکس و گوگل کروم تست شده است و در صورت استفاده از این مرورگر ها نیز از خطر حمله هکرها با استفاده از این آسیب پذیری در امان نیستید !

اما باگ CSRF چیست ؟

Cross-Site Request Forgery یک آسیب پذیری در عملیات مخصوص کاربرهای یک سایت است که امکان میدهد این عملیات مخصوص مدیر یا کاربر بدون در نظر گرفتن شرایط امنیتی لازم با کلیک شدن بر روی یک لینک یا استفاده از یک SESSION یا حتی مشاهده یک عکس توسط کاربر اتفاق بیفتد مثلا پسورد مدیر سایت تنها با کلیک کردن مدیر روی یک لینک ارسال شده در محیط چت یا ایمیل تغییر کند یا پول یا پیغامی به حساب کاربر دیگر منتقل شود بدون اینکه کنترل شود آیا کاربر واقعا قصد انجام این کار را دارد یا خیر . در واقع اینجا سایت به درخواست های ارسال شده از طرف کاربر اعتماد می کند در صورتی که کاربر از اتفاقی که در حال رخ دادن است مطلع نیست . معمولا برای رفع این مشکل امنیتی از token ها برای اطمینان از صحت درخواست کاربر استفاده می شود بطوری که درخواست های ارسالی به سایت باید حاوی یک توکن بوده که تنها از طریق سایت در اختیار کاربر قرار داده می شود و هکرها از آن مطلع نیستند و در صورتی که توکن ارسال شده به سایت با توکن کاربر مطابقت نداشته باشد درخواست رد می شود .



منبع:AMNNET

[abbas141]

باسلام

باتشکر از اطلاع رسانی شما ، در ادامه توضیحات شما تا جایی که اطلاع داریم این مشکل در نسخه 4.2.3 رفع شده است

[mehrpardakht]

از لطف و تکمیل خبر بسیار سپاسگزارم

[Amin007]

باسلام

باتشکر از اطلاع رسانی شما ، در ادامه توضیحات شما تا جایی که اطلاع داریم این مشکل در نسخه 4.2.3 رفع شده است

نسخه 4.2.1 چطور این باگ رو داره ؟
اگر داره چطور میشه حلش کرد ؟