یک نفوذگر تمام کد منبع Vine را بارگیری کرده است!

Vine یک شکل از خدمات اشتراک‌گذاری ویدئویی کوتاه است که در آن افراد می‌توانند ۶ ثانیه تمام از ویدئوهای خود را به اشتراک گذارند. توییتر این خدمات را در اکتبر ۲۰۱۲ خریده است.

آویناش که یک شکارچی حفره است، حفره‌ای را در Vine یافته است که به او اجازه می‌دهد تا یک تصویر Docker را که شامل کد منبع کامل Vine است بدون هیچ زحمتی بارگیری کند.

Docker که در ژوئن ۲۰۱۴ راه‌اندازی شد یک فناوری متن‌باز است که اجازه می‌دهد تا نرم‌افزارهای بیشتری بر روی یک کارگزار قدیمی اجرا شوند و علاوه بر این برای بسته‌بندی و ارسال، کاملاً ساده طراحی شده است. امروزه شرکت‌ها با سرعت قابل‌توجهی در حال رو آوردن به Docker هستند.

با این‌حال، این‌طور تصور می‌شده است که تصاویر Docker که به‌وسیله‌ی Vine استفاده شده است، شخصی و خصوصی است در حالی‌که در واقع در دسترس همه در اینترنت قرار داشته است.

آویناش در حالی‌که در جستجو برای آسیب‌پذیری‌ها در Vine بوده است از Censys.io استفاده می‌کند که یک موتور جستجوی جدید برای نفوذگران و شبیه به Shodan است که به‌صورت روزانه تمام اینترنت را برای همه‌ی دستگاه‌های آسیب‌پذیر بررسی می‌کند.

با استفاده از Censys، آویناش ۸۰ تصویر docker را یافته است اما به‌ طور ویژه به بارگیری vinewww پرداخت به این دلیل که نام‌گذاری این تصویر بسیار شبیه به پوشه‌ی www است که معمولاً برای یک وب‌گاه روی یک کارگزار وب استفاده می‌شود.

پس ‌از اینکه بارگیری تمام شد، او تصویر docker vinewww را اجرا کرد.

این شکارچی حفره توانست تا تمام کد منبع Vine، کلیدهای API آن و همچنین کلیدها و رمزهای ثالث آن را مشاهده کند. او نوشته است: «حتی در حالی‌که من این تصویر را بدون هیچ پارامتری اجرا می‌کردم، می‌توانستم به‌صورت محلی VINE را جایگزین کنم».

این جوان ۲۳ ساله این مشکل و بهره‌برداری کامل آن را در تاریخ ۳۱ مارس به توییتر گزارش داد و این شرکت به او ۱۰۸۰۰ دلار جایزه در قبال ارائه‌ی این کشف پرداخت کرده و ظرف ۵ دقیقه مشکل را حل کرد.

آویناش از سال ۲۰۱۵ یک شکارچی حفره‌ی فعال است و تاکنون ۱۹ آسیب‌پذیری را به توییتر گزارش کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.