خطایی در کدگذاری یک تازه کار قبل از هک کردن گاب از طرف مدیر فنی سایت رخ داده است


خطایی در کدگذاری یک تازه کار قبل از هک کردن گاب از طرف مدیر فنی سایت رخ داده است

Gab.com

در آخر هفته ، شایعه ای مبنی بر هک شدن وب سایت رسانه های اجتماعی راست افراطی Gab و بارگیری 70 گیگابایت داده با استفاده از یک نقص امنیتی در انواع باغ معروف به تزریق SQL وجود داشت. نگاهی گذرا به منبع باز گاب نشان می دهد که آسیب پذیری مهم – یا حداقل یک مورد بسیار مشابه با آن – توسط مدیر ارشد فناوری این شرکت معرفی شده است.

این تغییر که در زبان توسعه نرم افزار با نام “git commit” شناخته می شود ، زمانی در ماه فوریه توسط حساب Fosco Marotto ، مهندس سابق نرم افزار فیس بوک که در ماه نوامبر به عنوان مدیر فنی Gab شناخته شد ، ایجاد شد. روز دوشنبه ، گاب git commit را از وب سایت خود حذف کرد. در زیر یک تصویر نشان داده شده است که تغییر نرم افزار ماه فوریه را نشان می دهد ، همانطور که توسط سایتی نشان داده شده است که عکسهای ذخیره شده از اصلاح را ارائه می دهد.

این تعامل نشان می دهد که یک توسعه دهنده نرم افزار با استفاده از نام Fosco Marotto ، دقیقاً نوع خطای تازه کار را ارائه می دهد که می تواند منجر به نوع نقض گزارش شده در آخر هفته شود. به طور خاص ، خط 23 کدهای “رد” و “فیلتر” را از بین می برد ، این توابع API هستند که اصطلاحات برنامه نویسی را محافظت می کنند که از حملات تزریق SQL محافظت می کنند.

توسعه دهندگان: ورودی کاربر را ضد عفونی کنید

این اصطلاحات ورودی هایی را که بازدیدکنندگان وب سایت وارد می کنند و سایر زمینه های وب را “ضد عفونی” می کنند تا اطمینان حاصل شود که قبل از انتقال متن به سرورهای باطن ، همه دستورات مخرب برداشته می شوند. در عوض ، توسعه دهنده فراخوانی را به تابع Rails اضافه كرد كه حاوی روش “find_by_sql” است كه ورودی های غیر كاهش یافته را مستقیماً به یك رشته پرس و جو می پذیرد. Rails مجموعه گسترده ای از ابزارهای توسعه وب سایت است.

“متأسفانه ، اسناد Rails در مورد این دام به شما هشدار نمی دهد ، اما اگر شما در مورد استفاده از پایگاه داده SQL در برنامه های وب چیزی می دانید ، نام تزریق SQL را شنیده اید و یافتن هشدارهایی درباره بی خطر بودن روش find_by_sql دشوار نیست . “، در نامه ای نوشت دیمیتری بورودائنکو ، مهندس سابق تولید در فیس بوک ، که توجه من را به این تعهد جلب کرد. “100٪ تأیید نشده است که این آسیب پذیری است که در نقض داده ها در Gab استفاده شده است ، اما قطعاً می تواند باشد و این تغییر کد به آخرین متعهدی که در مخزن آنها بود باز می گردد. GitLab قبل از برداشتن آن خط “

ماروتو به ایمیلی که در مورد این پست نظر خواسته پاسخ نداده است. تلاش برای تماس مستقیم با گاب ناموفق بود.

تاریخ تجدیدنظرطلب

علاوه بر مسائل مربوط به تعامل با روند توسعه کد امنیتی Gab ، سایت رسانه های اجتماعی با انتقاداتی نیز برای حذف تعهدات از وب سایت خود روبرو شده است. منتقدان می گویند این اقدام ناقض شرایط مجوز Affero General Public است که حاوی استفاده مجدد از Gab توسط Mastodon است ، یک بسته نرم افزاری منبع باز برای میزبانی از سیستم عامل های شبکه های اجتماعی.

منتقدان می گویند حذف شرایطی را نقض می کند که به کد مستقیم تقسیم شده برای اتصال مستقیم از سایت نیاز دارد. این الزامات به منظور ایجاد شفافیت و ایجاد سایر برنامه نویسان منبع باز برای استفاده از کار همتایان خود در Gab طراحی شده اند.

مدت طولانی است که Gab تعهدات خود را در https://code.gab.com/ ارائه داده است. سپس ، روز دوشنبه ، سایت به طور ناگهانی تمام تعهدات – از جمله تعهداتی را که ایجاد کرده و سپس آسیب پذیری حیاتی تزریق SQL را برطرف کرده است ، حذف کرد. در جای خود ، گاب کد منبع را در قالب یک فایل بایگانی Zip ارائه داد که با رمز “JesusChristIsKingTrumpWonTheElection” محافظت می شود (منهای نقل قول ها).

نمایندگان پروژه Mastodon بلافاصله به ایمیلی پاسخ ندادند که آیا نگرانی منتقدان را با شما مشترک دارند یا خیر.

تعهدات Gat git علاوه بر س questionsالات مربوط به کدگذاری ایمن و انطباق با مجوز ، نشان می دهد که توسعه دهندگان شرکت با مشکل روبرو هستند کد آسیب پذیر آنها را برطرف کنید. تصویر زیر شخصی را نشان می دهد که از نام کاربری “توسعه دهنده” استفاده می کند ، و در تلاش است تا کدی حاوی آسیب پذیری تزریق SQL را به طور کامل اصلاح کند.

شرکت کنندگان در این بخشها با تمسخر با اشاره به مشکلاتی که به نظر می رسد توسعه دهندگان با آن برخورد کرده اند ، واکنش نشان می دهند.

نقض امنیت Gab و پردازش کد در پشت صحنه قبل و بعد از حادثه ، یک مطالعه موردی را برای توسعه دهندگان در مورد چگونگی ارائه می دهد نه برای حفظ امنیت و شفافیت کد وب سایت. با توجه به اینکه در مقاله ارائه شده از حساب مدیر فنی Gab که همه افراد باید بهتر بدانند ، این درس حتی دشوارتر است.




منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>