سوء‌‌استفاده مهاجمان از ويژگی توسعه‌دهنده ياهو برای سرقت پست‌های الكترونيكی كاربران

شماره: IRCNE2012121688
تاريخ:14/09/91

يك محقق امنيتي اظهار داشت: مهاجمان مي توانند پست هاي الكترونيكي و ساير اطلاعات خصوصي را از روي حساب كاربري كاربراني كه يك صفحه مخرب را مشاهده مي كنند، بخوانند. مهاجمان اين كار را با سوء استفاده از يك ويژگي در وب سايت شبكه توسعه دهنده ياهو انجام مي دهند.
روز يكشنبه در كنفرانس امنيتي DefCamp در بخارست پايتخت روماني يك نسخه محدود شده از اين حمله توسط يك فرد رومانيايي به نام Sergiu Dragos Bogdan نشان داده شد. در اين كنفرانس، اين محقق نشان داد كه چگونه كنسول YQL مبتني بر وب كه بر روي وب سايت developer.yahoo.com در دسترس است، مي تواند توسط مهاجمان مورد سوء استفاده قرار بگيرد تا دستورات YQL از طرف كاربران احزار هويت شده ياهو كه وب سايت هاي مخرب را مشاهده كرده اند، اجرا شود.
YQL يك زبان برنامه نويسي شبيه به SQL است كه توسط ياهو ايجاد شده است. اين برنامه مي تواند براي جستجو، فيلتر كردن و تركيب داده هاي ذخيره شده در پايگاه داده ها مورد استفاده قرار بگيرد.
كاربران احراز هويت نشده ياهو تنها مي توانند جستجوهاي عمومي مانند گرفتن اطلاعات از Yahoo Answers، Yahoo Weather و ساير خدمات را انجام دهند. با اين حال اگر اين كاربران وارد حساب كاربري خود شوند مي توانند به جداول حاوي داده هاي حساب كاربري خود مانند پست هاي الكترونيكي و اطلاعات خصوصي پروفايل دسترسي داشته باشند.
هنگامي كه يك جستجو در فيلد "YQL statement" وارد مي شود و دكمه "TEST" فشرده مي شود، يك كد احراز هويت خاص براي نشست كاربر با نام "crumb" همراه با درخواست ارائه مي شود. زماني كه كاربر صفحه كنسول YQL را مشاهده مي كند، كد crumb توليد شده و به طور خودكار به درخواست ها اضافه مي شود.
در طول ارائه اين حمله، Bogdan يك صفحه حمله PoC را كه يك آدرس developer.yahoo.com خاص را در يك iframe بارگزاري كرد، نشان داد. هنگامي كه اين صفحه توسط يك كاربر احراز هويت شده مشاهده شود، iframe كد crumb كاربر مذكور را بر مي گرداند.
در حمله PoC، Bogdan براي تغيير وضعيت پروفايل ياهو كاربر در پايگاه داده ياهو از يك دستور YQL استفاده كرد. او معتقد است براي انجام اين كار از روش هاي ديگري نيز مي توان استفاده نمود. به منظور خواندن پست هاي الكترونيكي، مهاجم نياز دارد تا تكنيك ديگري را استفاده نمايد تا بتواند داده هاي كاربر را به سرور خود منتقل كند.
اين محقق گفت: تمام حمله مي تواند كاملا به طور خودكار با استفاده از يك آسيب پذيري افشاء نشده كه در وب سايت developer.yahoo.com قرار دارد، انجام گيرد.
از آن جا كه اين حمله از مسائل امنيتي متعددي سوء استفاده مي كند و از روش هاي مختلفي براي اجراي آن استفاده مي شود، Bogdan آن را "blended threat" مي نامد. ياهو تاكنون به اين حمله ارائه شده و راه حل هاي موجود براي مقابله با آن پاسخي نداده است.