user_joomla

یافتن آسیب پذیری xss در موتور جستجوگر ایرانی

22 پست در این موضوع

متن خبر جدید منتشر شده در وبسایت تیم امنیت شبکه و تحقیقات سایبری پارسینگ:

نخستین موتور جستجوگر ایرانی به نام یوز و به آدرس Yooz در روز 26 بهمن سال 93 برای استفاده کاربران کشورمان بازگشایی شد. در تست مقدماتی از این موتور جستجوگر، آسیب پذیری XSS توسط تیم امنیت شبکه و تحقیقات سایبری پارسینگ یافت شد که پس از رفع آن، شرح آن را در ذیل آورده ایم.

مدیر تیم، جناب علی اصغر جعفری لاری در رابطه با شناسایی این آسیب پذیری می گوید: "شخصا قصد استفاده از این موتور جستجوگر را داشتم و نخستین جستجویی که انجام دادم، واژه هک بود اما از روی کنجکاوی با یک تست ساده اما با تغییراتی برای دور زدن فیلترها، اسکریپت خود را تزریق کردم و با کمال تعجب متوجه شدم که این موتور جستجوگر به آسیب پذیری XSS مبتلا است و خیلی زود پایگاه یوز را برای عموم بازگشایی کرده اند".

تیم پارسینگ، شرح این آسیب پذیری را به مرکز ماهر به همراه مستندات لازم ارائه نمود تا این آسیب پذیری توسط بخش مربوطه رفع گردد اما متاسفانه پس از رفع این آسیب پذیری، آن بازخوردی که تیم پارسینگ از مجموعه ماهر و یوز انتظار داشت را بدست نیاورد. علی اصغر جعفری لاری می گوید: "تنها تست مقدماتی که بروی این پایگاه انجام دادم با موفقیت صورت گرفت و مسلما موتور جستجوگر یوز به آسیب پذیری های بسیاری در بخش برنامه کاربردی وب و حتی سرور مبتلا است که از آنها فعلا چشم پوشی می کنیم".

همواره در پروژه های جهانی، برای یک تیم طراح وب، یک تیم با حوزه امنیت وب نیز در نظر گرفته می شود تا مشکلات در فرایند طراحی و پس از آن، تست و ارزیابی شود. اما اینکه این پایگاه چنین تیمی در نظر گرفته است یا خیر، در جواب فرض را بر این گذاشت که تیم امنیت وبی مدنظر قرار نگرفته است چراکه ساده ترین آسیب پذیری با تستی نسبتا ساده در نخستین روز بازگشایی پایگاه، شناسایی شد.

تیم امنیت شبکه و تحقیقات سایبری پارسینگ پس از گزارش این آسیب پذیری به مرکز ماهر و رفع این آسیب پذیری توسط بخش خصوصی مربوطه، خبر یافتن این آسیب پذیری را منتشر نمود تا مشکلی برای پایگاه یوز بوجود نیاید. آنچه که در تصاویر زیر می بینید، آسیب پذیر بودن این پایگاه در مقابل آسیب پذیری XSS بوده است.

1.jpg

2.jpg

Share this post


Link to post
Share on other sites

با موتورهای جستجوی ایرانی به هیچ جا نمیرسیم فقط خودمون رو گول میزنیم

Share this post


Link to post
Share on other sites
با موتورهای جستجوی ایرانی به هیچ جا نمیرسیم فقط خودمون رو گول میزنیم

این جرفتون اشتباست.شما خودتون یه توسعه دهنده هستید.قرار نیست توی رونمایی اولیه سایر موتور های جستجوگر خارجی رو بذاره تو جیبش.اما میتونه با حمایت امثال من و شما (به ویژه شما که توسعه دهنده و مدیر و ... هستید) به حد مطلوبی برسه چه بسا بهتر هم برسه.

Share this post


Link to post
Share on other sites

یاهو و بینگ و امثالهم با حضور گوگل ، اندر خم یک کوچه اند ...

توسعه خیلی کار خوبیه . اما ساختن چرخ ... :didi:

مبلغ پروژه ی یوز رو سرچ کنید ... منطقی به نظر نمیرسه.

Share this post


Link to post
Share on other sites
یاهو و بینگ و امثالهم با حضور گوگل ، اندر خم یک کوچه اند ...

توسعه خیلی کار خوبیه . اما ساختن چرخ ... :didi:

مبلغ پروژه ی یوز رو سرچ کنید ... منطقی به نظر نمیرسه.

احسنت.ممنون که باگ امضام رو مشخص کردید.:didi:

لازمه که توضیحات بدم و امضام رو هم کمی اصلا کنم ظاهرا.

چرخ رو دوباره اختراع نکن برای زمانی هست که سورس پروژه به شما داده میشه.اما اگه ندن دقیقا و دقیقا و دقیقا موظفیم و موظفیم که اختراعش کنیم.هر چند که ممکنه به کیفیت اون نرسه.

مثل اتومبیلی میمونه که بگن شما نساز ما بهت میدیم. این یه نوع از مبانی استعمار هست.

اما وقتی سورس رو به شما میدن، شما میتونی با بررسی اون متوجه روند اون بشی و حتی خودت توسعه دهنده بشی.

واقعا چه خوب که یکی امضای مارو ابهامشو برطرف کرد.:yoho:

Share this post


Link to post
Share on other sites

موتورهای جستجو فراتر از چیزی هست که من و شما تصور می کنید. هزاران توسعه دهنده، هزاران برنامه نویس سطح بالا، 100 ها دانشمند ریاضی و... نیاز داره. نه اینکه یک سایت با asp بزنی و فکر کنی موتور جستجوگر ساختی، پیچیده ترین الگوریتم های ریاضی برای موتور جستجوی گوگل توسعه پیدا کرده.

به جای همایت از همچین پروژه ایی یکم صحیح فکر کنیم.

این حمایت ها باعث می شه یک سایت غیر هوشمند که حداکثر به یک خزنده می رسه ، تلاش هزاران نویسنده و تلاش گر حوزه وب را بی ثمر کنه. چراکه به اسانی یک سایت اسپمر در صدر جستجوها قرار می گیره.

موتورهایی مثل بینگ ، فکر می کنید چرا استقبال نمی شه؟

چرا باید بودجه های دولتی را اینجوری به هدر بدیم. 170 میلیارد تومان می تواننست چند هزار جوان را اشتغال زایی کنه؟

(چرا باید هزینه ی پایان نامه ی یک دانشجو 400 هزار تومان در بهترین دانشگاه کشور باشه!!)

Share this post


Link to post
Share on other sites

حمایت چی بکنیم ؟ حمایت از دزدی تو روز روشن ؟ حمایت از این هزینه ای که اعلام کردن انجام شده و هنوزم ادامه داره ؟ این هزینه می تونست صرف خیلی مسائل مهم تر و بنیادی تر بشه

سرچ انجین کشوری می خوایم چیکار وقتی جهانیش با این کیفیت فراهمه ؟

با این بودجه میشد به قول مجید نصف جوونای بیکار مملکت رو اشتغال زایی کرد . میشد باهاش کلی موسسه علمی تاسیس کرد . میشد یه شهرک مسکونی یا تجاری ساخت

170 میلیارد تا الان . فاز دوم 90 میلیارد . به عقل کی جور در میاد ؟ با پول کی اصلا ؟ بعد تخصیص بودجه دولتیا سالیانه داره کاهش پیدا میکنه برای همین جفنگیات . بودجه کم بشه تو دولتی کمرشرکتهای خصوصی بزرگ هم میشکنه .

همه و همه برای سرچ انجین ملی ؟؟؟؟؟؟؟؟

Share this post


Link to post
Share on other sites

یک دستاورد خوب داشت

http://yooz.ir/?q=%D8%B1%DA%98%DB%8C%D9%85+%D8%BA%D8%B0%D8%A7%DB%8C%DB%8C&st=0&s=0&i=&v=2

نتیجه:

به جای جستجوهای عام ویدئویی ، ویدئوهای سایت آشنای آپارات

خبرهای خبرگذاری های داخلی ، نظیر مهر، جوان آنلاین .... در اولیت

خوب بقیه سایت ها هم که اهمیت نداره. به طور مثال سایت ما که 4 ساله داره مطلب اختصاصی باید بعد از سایت های خبرگذاری های دولتی قرار بگیره

نتایج اصلی جستجو هم ترکیبی از نتایج گوگل و یاهو می یاره

Share this post


Link to post
Share on other sites

راستی دوست داشتین امار جستجوها و سرچ ها را ببینید :

Piwik › Sign in

بچه های داخلی ظاهرا تمایل نداشتن چرخ اختراع کنند گفتند بهتره امارگیر piwik استفاده کنیم.

Share this post


Link to post
Share on other sites

درود

اینکه داخل این موتور باگ پیدا شده طبیعیه گوگل هم چندین بار هک شده اما صداش در نمیاد،باید اسیب ها مرتب مشخص و برطرف بشه تا استیبل بشه

یه همچین محصولی برای اینکه به موتور جستجو به معنای واقعی تبدیل بشه حالا حالا ها کار داره و باید صبر کرد و منتظر باگ های بعدی موند

اما متاسفانه توی ایران این رویکرد وجود ندااره که وقتی یه محصول بومی تولید میشه توسط یه سازمان یا شرکت بیان به همه متخصصین بدن برای تست

بلکه عموما فقط توسط کارشناسای خود پروژه تست میشه

اما بهتر بود هنوز منتشر نمیشد عمومی و میدادن متخصین هک و امنیت و متخصصین فنی خ خوب روش کار کنند مثل نسخه های rtm مایکروسافت که چند ماه قبل توزیع عمومی در اختیار شرکت های توسعه دهنده قرار میده. هرچند ایرادات

همیشه هست و خواهد بود.

اینکه این هزینه ای که دوستان میگن واسش خرج شده رو شخصا نمیتونم نظر بدم باید دید ریز هزینه های انجام شده چیا بوده و صرف چی شده دقیقا؟!

موتور جستجو صرفا یه اسکریپت نیست فراتر از یه تیم برنامه نویسیه

Share this post


Link to post
Share on other sites

پویان دستمون انداختی؟ گوگل مگه سایته؟ سروره مگه؟موتور جستجو مفهموم هست، مفهموم فراتر از زبان برنامه نویسی ، پلت فرم.... دیگه هست. امنیت جزئی کوچیک از سایت جستجوگر هست و موتور جستجو روش ها و الگوریتم ها هست. به طوز مثال f=ma تئوری پایه مکانیک هست. حالا من امدم با این قانون پراید ساختم. موتور جستجو هم همینه ، قانون ها و الگوریتم هاست. نه ان پرایده.

Share this post


Link to post
Share on other sites

ببینید خودتونو گول نزنید.وقتی سایتی افتتاح میشه یعنی همه حمایت های فنی و مالی در داخلش گنجانده شده. ربطی به این نداره که الان این آسیب پذیری رو این گروه شناسایی کرده یا بعدا این کارو کنه.این بودجه ای که برای سایت یوز در نظر گرفتند و سرمایه گکذاری می کردند یه اپلی***ن ملی مثله وایبر و اینا میساختن خیلی بهتر از این بود.

Share this post


Link to post
Share on other sites
پویان دستمون انداختی؟ گوگل مگه سایته؟ سروره مگه؟موتور جستجو مفهموم هست، مفهموم فراتر از زبان برنامه نویسی ، پلت فرم.... دیگه هست. امنیت جزئی کوچیک از سایت جستجوگر هست و موتور جستجو روش ها و الگوریتم ها هست. به طوز مثال f=ma تئوری پایه مکانیک هست. حالا من امدم با این قانون پراید ساختم. موتور جستجو هم همینه ، قانون ها و الگوریتم هاست. نه ان پرایده.

درود

مجید من میدونم گوگل چیه و چیکار میکنه ولی بحث من اینه گوگل هم در ابتدا به این صورت نبود

ضمنا صرف نظر از مهفومی بودن موتور جستجو گوکل هم روی سرورهای متعدد سوار هست و دقیقا امنیت جزو اساسی امنیت یک موتور جستجو هست نه جزو کوچیک

همین تفکر امثال شما باعث این همه نا امنی شده چون همیشه امتیت رو جزو کوچیک میدونن!!!!

توی هر تیم یا شرکت استانداردی یه تیم فنی هست یه تیم. امنیت که در راستای هم هستن اما خوب وقتی توبعنوان وبمستر در مورد امنیت اسکریپت ها این تصور رو

داری دیگه.......

در مورد الگوریتم و یا قوانین فنی و برنامه نویسی هم اینو در نظر بگیر این اول کار هست و باید خ بیشتر و بیشتر مورد بازبینی و اصلاحات قرار بگیره

همین اول همه دارین محکوم میکنید که چی بشه ؟

Share this post


Link to post
Share on other sites
ببینید خودتونو گول نزنید.وقتی سایتی

میشه یعنی همه حمایت های فنی و مالی در داخلش گنجانده شده. ربطی به این نداره که الان این آسیب پذیری رو این گروه شناسایی کرده یا بعدا این کارو کنه.این بودجه ای که برای سایت یوز در نظر گرفتند و سرمایه گکذاری می کردند یه اپلی***ن ملی مثله وایبر و اینا میساختن خیلی بهتر از این بود.

درود

ای کاش هنوز افتتاح نمیشد و فقط نسخه ازمایشی در اختیار کارشناسا قرار میگرفت

میزاشتن یکسال بعد افتتاح بشه چی میشد؟

Share this post


Link to post
Share on other sites

درسته

وقتی افتتاح میشه یعنی همه چی تست شده. درسته سایت های بزرگی مثل یوتوب و گوگل هم یه زمانی به این آسیب پذیری ها گرفتار بودن اما اینکه روز اول افتتاح این باگ منتشر بشه و خبرساز بشه خیلی زشته.

Share this post


Link to post
Share on other sites
درسته

وقتی افتتاح میشه یعنی همه چی تست شده. درسته سایت های بزرگی مثل یوتوب و گوگل هم یه زمانی به این آسیب پذیری ها گرفتار بودن اما اینکه روز اول افتتاح این باگ منتشر بشه و خبرساز بشه خیلی زشته.

تو ایران اول یک چیز بالا میاد بدون تست امنیت،اون وقت ادعا زیاد میشه

Share this post


Link to post
Share on other sites

من وسط بحث کلی خندیدم. یکی از دوستامون گفتن که اگه سورس رو ندن (!) :ooofe:باید بریم اختراع کنیم. سورس رو ندن رو عااااااااااااااااااالی اومدید. یعنی گوگل باید بیاد سورس کامل رو دو دستی تقدیم ما کنه که بومی سازی ش کنیم!!!!

Share this post


Link to post
Share on other sites

در اصل این سایتی که بالا واردن WebCrawler Web Search هست و میاد تو محتواهای فارسی جستجو میکنه نمونه انگلیسی همینی که بقول ما ایرانیانیا میگیم کلک مرغابی http://www.webcrawler.com

Share this post


Link to post
Share on other sites

موتورهای جستجو فراتر از چیزی هست که من و شما تصور می کنید. هزاران توسعه دهنده، هزاران برنامه نویس سطح بالا، 100 ها دانشمند ریاضی و... نیاز داره. نه اینکه یک سایت با asp بزنی و فکر کنی موتور جستجوگر ساختی، پیچیده ترین الگوریتم های ریاضی برای موتور جستجوی گوگل توسعه پیدا کرده.

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری