آسیب پذیری XSS در نخستین موتور جستجوگر ایرانی
علی اصغر جعفری لاری
تاریخ انتشار: 1393/11/27
نخستین موتور جستجوگر ایرانی به نام یوز در بهمن 93 افتتاح شد. در تست مقدماتی از این موتور جستجوگر، تیم امنیت شبکه و تحقیقات سایبری پارسینگ در آن آسیب پذیری XSS کشف کرد.
خبری در رابطه با یافتن آسیب پذیری XSS در نخستین موتور جستجوگر ایرانی که امروز توسط مسئول محتوای سایت تیم ما (تیم امنیت شبکه و تحقیقات سایبری پارسینگ) و دیگر سایت های خبری منتشر شد را برای علاقه مندان به حوزه هک و امنیت ارائه خواهم کرد. نخستین موتور جستجوگر ایرانی به نام یوز و به آدرس www.yooz.ir در روز 26 بهمن سال 93 برای استفاده کاربران کشورمان افتتاح شد. در تست مقدماتی از این موتور جستجوگر، آسیب پذیری XSS توسط تیم امنیت شبکه و تحقیقات سایبری پارسینگ یافت شد که پس از رفع آن، شرح آن را در ذیل آورده ایم.
نخستین موتور جستجوگر ایرانی به نام یوز و به آدرس Yooz در روز 26 بهمن سال 93 برای استفاده کاربران کشورمان افتتاح شد. در تست مقدماتی از این موتور جستجوگر، آسیب پذیری XSS توسط تیم امنیت شبکه و تحقیقات سایبری پارسینگ یافت شد که پس از رفع آن، شرح آن را در ذیل آورده ایم.
مدیر تیم، جناب علی اصغر جعفری لاری در رابطه با شناسایی این آسیب پذیری می گوید: "شخصا قصد استفاده از این موتور جستجوگر را داشتم و نخستین جستجویی که انجام دادم، واژه هک بود اما از روی کنجکاوی با یک تست ساده اما با تغییراتی برای دور زدن فیلترها، اسکریپت خود را تزریق کردم و با کمال تعجب متوجه شدم که این موتور جستجوگر به آسیب پذیری XSS مبتلا است و خیلی زود پایگاه یوز را برای عموم بازگشایی کرده اند".
تیم پارسینگ، شرح این آسیب پذیری را به مرکز ماهر به همراه مستندات لازم ارائه نمود تا این آسیب پذیری توسط بخش مربوطه رفع گردد اما متاسفانه پس از رفع این آسیب پذیری، آن بازخوردی که تیم پارسینگ از مجموعه ماهر و یوز انتظار داشت را بدست نیاورد. علی اصغر جعفری لاری می گوید: "تنها تست مقدماتی که بروی این پایگاه انجام دادم با موفقیت صورت گرفت و مسلما موتور جستجوگر یوز به آسیب پذیری های بسیاری در بخش برنامه کاربردی وب و حتی سرور مبتلا است که از آنها فعلا چشم پوشی می کنیم".
همواره در پروژه های جهانی، برای یک تیم طراح وب، یک تیم با حوزه امنیت وب نیز در نظر گرفته می شود تا مشکلات در فرایند طراحی و پس از آن، تست و ارزیابی شود. اما اینکه این پایگاه چنین تیمی در نظر گرفته است یا خیر، در جواب فرض را بر این گذاشت که تیم امنیت وبی مدنظر قرار نگرفته است چراکه ساده ترین آسیب پذیری با تستی نسبتا ساده در نخستین روز بازگشایی پایگاه، شناسایی شد.
تیم امنیت شبکه و تحقیقات سایبری پارسینگ پس از گزارش این آسیب پذیری به مرکز ماهر و رفع این آسیب پذیری توسط بخش خصوصی مربوطه، خبر یافتن این آسیب پذیری را منتشر نمود تا مشکلی برای پایگاه یوز بوجود نیاید. آنچه که در تصاویر زیر می بینید، آسیب پذیر بودن این پایگاه در مقابل آسیب پذیری XSS بوده است.
شرح آسیب پذیری XSS را می توانید در کتاب آموزش هک برای مبتدی ها مطالعه نمایید.