تماس با ما

موبایل: 2565 038 0912

دفتر تهران: 2565 2842 021

دفتر گرگان: 2565 3233 017


گوگل همانند دیگر کمپانی‌ها برای روز اول آوریل امسال دروغ‌های متنوعی را در نظر گرفته بود که نسخه‌ی برعکس سایت گوگل یکی از آن‌ها بود؛ اما به تازگی این شوخی و دروغ، نقص امنیتی جدی را برای این کمپانی به وجود آورده است.

 گوگل در روز اول آوریل نسخه‌ی برعکس سایت خود را راه اندازی کرده بود. این سایت آدرس com.google را داشته و زمانی که کاربران به آن رجوع می‌کردند با نوشته‌های برعکس شده‌ مواجه می‌شدند. حال به نظر می‌رسد این شوخی مشکلی جدی را برای گوگل به همراه دارد. دامنه com.google موجب ایجاد نقص امنیتی و حملات click-jacking شده است.
کلیک دزدی یا حملات Click jacking روش هوشمندانه‌ای است که هکرها برای ترغیب کاربران به کلیک کردن روی آیکن یا فایلی ویروسی به کار می‌گیرند. در این روش کاربر بدون این که بداند ممکن است با یک کلیک کردن ساده چه اتفاقات ناگواری برای سیستمش رخ بدهد، در دام هکرها می‌افتد. این تکنیک به شکل‌های مختلفی ظاهر می‌شود؛

به عنوان مثال آگهی‌های تبلیغاتی و یا جملاتی مانند «هرگز روی این فایل کلیک نکنید» که می‌تواند هر کاربری از مبتدی گرفته تا پیشرفته را دچار وسوسه برای کلیک کردن کند. این حملات زمانی اتفاق می‌افتد که قربانی تصور می‌کند درحال کلیک بر روی موضوع خاصی است در حالی‌ که در واقع روی لینک دیگری کلیک می‌کند.
آسیب‌پذیری‌های موجود هکرها را قادر می‌کند تا تنظیمات جستجوی کاربر مانند فیلتر SafeSearch یا جستجوی ایمن را تغییر دهند. در صفحه اصلی گوگل یعنی google.com، تنظیمات کد X-Frame در این صفحه طوری تنظیم شده که مانع از نمایش این صفحه در سایر وب‌سایت‌ها با کد iframe می‌شود؛ از طرفی گوگل در روز اول آوریل برای نمایش دادن نسخه‌ی برعکس این سایت از پارامتر igu=2 استفاده کرده است. این پارامتر  باعث شده که امکان نمایش برعکس سایت فراهم شود، اما یک مشکل دیگر را هم ایجاد کرده که آن هم باعث شده بود تا سرور تنظیمات هدر X-Frame را نادیده بگیرد. به همین دلیل هکرها به راحتی می‌توانستند با استفاده از کد iframe در یک دامنه خارجی کاربران را برای تغییر تنظیمات جستجو فریب دهند.
در کدهای زیر می‌توانید بک جستجوی گوگل را به همراه کد X-Frame مشاهده کنید:

HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 35486
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:54:14 GMT
Expires: Wed, 01 Apr 2015 09:54:14 GMT
Server: gws
[Set-Cookie: [redacted
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15

حال همانند کدهای زیر اگر از پارامتر igu=2 استفاده کنیم، پارامتر X-Frame-Options حذف شده و هکر به راحتی می‌تواند از آن سوءاستفاده کند:

HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 33936
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:58:30 GMT
Expires: Wed, 01 Apr 2015 09:58:30 GMT
Server: gws
[Set-Cookie: [redacted
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15

هکر با استفاده از کدهایی که اشاره شد قادر است نتایج جستجوی گوگل را در قالب کد iframe در وب‌سایت خود قرار داد؛ در نهایت می‌تواند با دستکاری کدهای صفحه‌ی اول گوگل و قرار دادن کدهای دلخواه هود نتایج جستجوی نامطلوبی را برای کاربر به نمایش درآورد. گوگل پس از مطلع شدن از این نقص امنیتی سریعا آن را برطرف کرد.


سفارش طراحی سایت

سفارش طراحی سایت

google
yahoo
alexa
ebook
Baidu.com
Wikipedia
Blogger.com
Windows Live
Amazon.com
eBay
Bing
Ask
استانداری گلستان
f shdj, sefaresh, sefaresh .net, sefaresh.net, sthva, sthva nhj kj, sthva.kj, stthva.kj, xvhpd, آیفون, استفاده, اندروید, اپل, اپلیکیشن, اینترنت, باتری, بازار, بازی, دستگاه, دوربین, سامسونگ, سفارش, سفارش دات نت, سفارش دات نت sefaresh.net, سفارش.نت, سیستم, طراح وب, طراحي وب سايت, طراحی, طراحی وب سایت, فناوری, مایکروسافت, موبایل, هوشمند, کاربران, کمپانی, گلکسی, گوشی, گوشی هوشمند, گوگل

نمایش تمامی تگ ها
بسته ویژه مدارس مدارس
بسته ویژه پزشکان پزشکان
بسته ویژه مهندسین مهندسین