همکاری سه محقق برای دریافت پاداش مسابقه اشکال‌یابی در وبگاه PornHub

یک تیم تحقیقاتی متشکل از سه محقق امنیتی چندی پیش اقدام به بررسی و کشف یک نقطه آسیب‌پذیری مربوط به زبان برنامه‌نویسی PHP کردند تا از آن طریق و در قالب یک مسابقه اشکال‌یابی، به وبگاه PornHub نفوذ کنند.

روش کار این سه محقق برای این اقدام، مشابه روش‌های معمولی مورد استفاده در تحقیقات امنیتی نیست. از آنجایی که کارگزارهای وبگاه PornHub در مقابل حملات و عوامل مختلف آن‌ها ایمن بودند، محققان مجبور به استفاده از روش‌های جدید برای رسیدن به اهداف خود بودند. نتیجه حاصل از اقدامات این سه محقق، کشف یک نقطه آسیب‌پذیری کشف نشده و ناشناخته در بخش زبان برنامه‌نویسی PHP بود که برای ساخت وبگاه PornHub از آن استفاده شده است.

این نقطه آسیب‌پذیری که دارای شناسه CVE-۲۰۱۶-۵۷۷۱/CVE-۲۰۱۶-۵۷۷۳ است، در حقیقت یک آسیب‌پذیری use-after-free است و در صورتی رخ می‌دهد که الگوریتم بازیافت حافظه زبان برنامه‌نویسی PHP با برخی بخش‌های مشخص این برنامه تقابل داشته باشد.

یکی از این بخش‌های مشخص، تابع غیر سریال‌سازی در PHP است که اطلاعات به دست آمده از طریق ابزار کاربری مانند بارگذاری‌های کاربران را مدیریت می‌کند و این اطلاعات را به منظور پردازش، از بخش‌های مختلف کارگزار عبور می‌دهد.

سه محقق کشف کننده این نقطه داریو ویبر، کاتز هابالوف و روسلان هابالوف نام داشتند و توانستند با استفاده از این آسیب‌پذیری به بخش نشانی اطلاعات منتشرشده از روش POST در کارگزار نفوذ کنند. این سه محقق پس از این اقدام و همچنین پس از فعالیت بخش غیر سریال‌سازی PHP، از بار داده‌ای که از حافظه آزاد شده توسط مجموعه بازیافت حافظه PHP تغذیه می‌کرد، استفاده کردند و سپس کدهای سرگردان کارگزار PornHub را اجرا کردند.

یکی از مشکلات موجود بر سر راه محققان برای بهره‌برداری از این آسیب‌پذیری، استفاده وبگاه PornHub از یک نسخه سفارشی PHP بود، اما این سه نفر توانستند بدون توجه به این مسئله کار خود را انجام داده و به این وبگاه نفوذ کنند.

این آسیب‌پذیری ناشناخته در نسخه‌های ۵.۳ و بالاتر PHP مشاهده می‌شود. شایان ‌ذکر است که شرکت PHP بلافاصله اقدام به رفع این آسیب‌پذیری کرد.

این سه محقق به دلیل کشف این آسیب‌پذیری مرتبط با اجرای کد از راه دور، موفق به دریافت بالاترین جایزه این مسابقه به میزان ۲۰ هزار دلار شدند. علاوه بر این، کمیته HackerOne که یک کمیته مربوط به مسابقات اشکال‌یابی در حوزه اینترنت است نیز به این سه محقق به دلیل کشف و رفع این آسیب‌پذیری ناشناخته، ۲ هزار دلار دیگر پاداش اعطا کرد.

این محققان به منظور توضیح و تشریح کامل کار خود در این مورد، اقدام به تنظیم دو گزارش مفصل در خصوص مسائل فنی تحقیقات خود کردند و گزارش سوم آن نیز در هفته آینده تنظیم خواهد شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.