سودارس : باحث مصري يكتشف ثغرة خطيرة لاختراق خادم فيسبوك

"حكومة الأمل المدنية" رئيس الوزراء يحدد ملامح حكومة الأمل المدنية المرتقبة هدفين دون مقابل.. بالميراس يعقد مهمة الأهلي في المونديال بفوز مستحق الفوز بهدفين.. ميسي يقود إنتر ميامي لقلب الطاولة على بورتو الهلال السعودي يتعادل مع ريال مدريد في كأس العالم للأندية فقدان عشرات المهاجرين السودانيين في عرض البحر الأبيض المتوسط عودة الخبراء الأتراك إلى بورتسودان لتشغيل طائرات "أنقرة" المسيّرة لما سقطت طهران... صرخت بورسودان وأبواقها "الأمة القومي": كامل ادريس امتداد لانقلاب 25 أكتوبر 6 دول في الجنوب الأفريقي تخرج من قائمة بؤر الجوع العالمية الحكم بسجن مرتكبي جريمة شنق فينيسيوس 30أم 45 دقيقة.. ما المدة المثالية للمشي يومياً؟ الإدارة العامة للمباحث الجنائية المركزية تتمكن من ضبط منزل لتزييف العملات ومخازن لتخزين منهوبات المواطنين هل سمعت عن مباراة كرة قدم انتهت نتيجتها ب 149 هدفاً مقابل لا شيء؟ لماذا ارتفعت أسعار النفط بعد المواجهة بين إيران وإسرائيل؟ بين 9 دول نووية.. من يملك السلاح الأقوى في العالم؟ وزارة الصحة تتسلّم (3) ملايين جرعة من لقاح الكوليرا "أنت ما تتناوله"، ما الأشياء التي يجب تناولها أو تجنبها لصحة الأمعاء؟ تقرير رسمي حديث للسودان بشأن الحرب يوفنتوس يفوز على العين بخماسية في كأس العالم للأندية نظرية "بيتزا البنتاغون" تفضح الضربة الإسرائيلية لإيران التغيير الكاذب… وتكديس الصفقات! السودان والحرب الأهلي يكسب الفجر بهدف في ديربي الأبيض عملية اختطاف خطيرة في السودان بالصورة.. الممثل السوداني ومقدم برنامج المقالب "زول سغيل" ينفي شائعة زواجه من إحدى ضحياه: (زواجي ما عندي علاقة بشيخ الدمازين وكلنا موحدين وعارفين الكلام دا) شاهد بالفيديو.. الفنان شريف الفحيل يعود لإثارة الجدل: (بحب البنات يا ناس لأنهم ما بظلموا وما عندهم الغيرة والحقد بتاع الرجال) شاهد بالصورة والفيديو.. حسناء سودانية فائقة الجمال تبهر المتابعين وتخطف الأنظار بتفاعلها مع "عابرة" ملك الطمبور ود النصري شاهد بالصورة والفيديو.. خلال حفل زفاف بالقاهرة.. العازف عوض أحمودي يدخل في وصلة رقص هستيرية مع الفنانة هدى عربي على أنغام (ضرب السلاح) شاهد بالصورة والفيديو.. مطربة أثيوبية تشعل حفل غنائي في أديس أبابا بأغنية الفنانة السودانية منال البدري (راجل التهريب) والجمهور يتساءل: (ليه أغانينا لمن يغنوها الحبش بتطلع رائعة كدة؟) شاهد بالفيديو.. ظهر بحالة يرثى لها.. الفنان المثير للجدل سجاد بحري يؤكد خروجه من السجن وعودته للسودان عبر بورتسودان هل هناك احتمال لحدوث تسرب إشعاع نووي في مصر حال قصف ديمونة؟ ماذا يفعل كبت الدموع بالرجال؟ الإدارة العامة للمباحث الجنائية المركزية تتمكن من الإيقاع بشبكة إجرامية تخصصت فى نهب مصانع العطور بمعاونة المليشيا المتمردة 9 دول نووية بالعالم.. من يملك السلاح الأقوى؟ الصحفية والشاعرة داليا الياس: (عندي حاجز نفسي مع صبغة الشعر عند الرجال!! ولو بقيت منقطها وأرهب من الرهابة ذاتا مابتخش راسي ده!!) تدهور غير مسبوق في قيمة الجنيه السوداني التهديد بإغلاق مضيق هرمز يضع الاقتصاد العالمي على "حافة الهاوية" كيم كارداشيان تنتقد "قسوة" إدارة الهجرة الأمريكية "دم على نهد".. مسلسل جريء يواجه شبح المنع قبل عرضه السلطات السودانية تضع النهاية لمسلسل منزل الكمير المباحث الجنائية المركزية ولاية الجزيرة تنفذ حملة أمنية كبري بالسوق العمومي وتضبط معتادي إجرام مباحث شرطة الولاية الشمالية تتمكن من إماطة اللثام عن جريمة قتل غامضة وتوقف المتورطين المملكة تستعرض إستراتيجية الأمن الغذائي لدول مجلس التعاون الخليجي خسائر ضخمة ل"غانا"..تقرير خطير يكشف المثير نقل أسلحة إسرائيلية ومسيرات أوكرانية الى افريقيا بمساعدة دولة عربية والي الخرطوم يصدر عدداً من الموجهات التنظيمية والادارية لمحاربة السكن العشوائي أدوية يجب تجنب تناولها مع القهوة (يمكن نتلاقى ويمكن لا) بالصورة.."أتمنى لها حياة سعيدة".. الفنان مأمون سوار الدهب يفاجئ الجميع ويعلن إنفصاله رسمياً عن زوجته الحسناء ويكشف الحقائق كاملة: (زي ما كل الناس عارفه الطلاق ما بقع على"الحامل") السودان..خطوة جديدة بشأن السفر 3 آلاف و820 شخصا"..حريق في مبنى بدبي والسلطات توضّح معلومات جديدة عن الناجي الوحيد من طائرة الهند المنكوبة.. مكان مقعده ينقذه من الموت إنهاء معاناة حي شهير في أمدرمان رؤيا الحكيم غير ملزمة للجيش والشعب السوداني شاهد بالفيديو.. داعية سوداني شهير يثير ضجة إسفيرية غير مسبوقة: (رأيت الرسول صلى الله عليه وسلم في المنام وأوصاني بدعوة الجيش والدعم السريع للتفاوض) أثار محمد هاشم الحكيم عاصفة لم يكن بحاجة إلي آثارها الإرتدادية علي مصداقيته الكلامية والوجدانية ما هي محظورات الحج للنساء؟ قُلْ: ليتني شمعةٌ في الظلامْ؟!

شكرا على الإبلاغ!

سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.

باحث مصري يكتشف ثغرة خطيرة لاختراق خادم فيسبوك

الراكوبة نشر في الراكوبة يوم 30 - 12 - 2014

اكتشف باحث أمني مصري ثغرة تتيح له اختراق أحد الخوادم الخاصة بشبكة فيسبوك الاجتماعية والاتصال به، مستخدما ملفا مصمما عبر برنامج تحرير النصوص "مايكروسوفت أوفيس وورد".
وأوضح الباحث الأمني، محمد رمضان، أن الثغرة تتيح له اختراق الخادم الخاص برفع ملفات السير الذاتية إلى شركة فيسبوك، وذلك عبر رفع ملف "وورد" يحتوي على كود خبيث بصفحة الوظائف التابعة للشبكة الاجتماعية، والمتاحة عبر الرابط facebook.com/careers.
وأشار رمضان إلى أن أي ملف بصيغة .docx يصمم عبر برنامج "وورد" يتكون من عدة ملفات xml مضغوطة، والتي يمكن استخدامها لوضع كود لفتح اتصال يمكنه من التحكم بأحد خوادم فيسبوك.
وتمكن الباحث الأمني المصري من ربط الخادم المرتبط بصفحة الوظائف التابعة لفيسبوك بخادم آخر تابع له باستخدام الثغرة، مما مكنه من التحكم به، ومن ثم أبلغ الفريق الأمني للشبكة الاجتماعية بالثغرة لخطورتها.
وشدد رمضان، في تصريح للبوابة العربية للأخبار التقنية، على أن الثغرة تمكنه بعد التحكم بالسيرفر بالقيام بعدة أمور، مثل غلق الخادم أو منعه عن العمل، أو تنفيذ هجوم "رفض الخدمة" من الخادم على مواقع أو خوادم أخرى.
وتابع الباحث الأمني "أستطيع كذلك قراءة الملفات ذات صيغة xml المخزنة على الخادم المخترق، كما أستطيع قراءة بعض الملفات الأخرى وأسماء المجلدات، بجانب استخدام الخادم في عمل فحص للمنافذ على الشبكة الداخلية لفيسبوك".
وأضاف رمضان أن الثغرة تصيب في الأساس إضافة Apache POl المخصصة لخوادم Apache، والمطورة بشكل مفتوح المصدر، والمستخدمة من قبل آلاف المواقع على الإنترنت مما يزيد من خطورة الثغرة.
وتمكن الباحث الأمني من استخدام نفس الثغرة في تنفيذ اختراق آخر لخادم أحد المواقع الخاصة بتوفير برمجيات التوظيف، وهو موقع greenhouse.io، والذي تستخدم برمجياته خدمات مثل شبكة "بينترست" الاجتماعية وشبكة مشاركة الفيديو "فيمو".
يذكر أن فيسبوك قامت بسد الثغرة الأمنية الخطيرة وكافأت الباحث الأمني المصري بمبلغ 6300 دولارا، ضمن برنامج "مكافآت الثغرات" خاصتها، وهو الباحث الذي تم إدراجه بقائمة شرف "القراصنة الأخلاقيين" الخاصة بالشبكة لعام 2014.

انقر هنا لقراءة الخبر من مصدره.