[av_textblock size=” font_color=” color=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”]
[/av_textblock]
[av_heading tag=’h1′ padding=’10’ heading=’5 سرویس میزبانی وب محبوب ،در معرض آسیب پذیری های متعدد قرار گرفتند’ color=’custom-color-heading’ style=’blockquote modern-quote modern-centered’ custom_font=’#4ecac2′ size=” subheading_active=” subheading_size=’15’ custom_class=” admin_preview_bg=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
یکی از محققان امنیتی  آسیب پذیری های چند جانبه ی one-click در برخی از محبوب ترین و گسترده ترین شرکت های میزبانی وب جهان که می تواند میلیون ها مشتری و همچنین میلیاردها بازدید کننده سایت خود را در معرض خطر هک قرار دهد کشف کرده است.

Paulos Yibelo محقق و پزوهشگر  bug-hunter که تحقیق جدید خود را با The Hacker News به اشتراک گذاشت است ،تقریبا ده ها آسیب پذیری امنیتی جدی را در Bluehost،Dreamhost،HostGator،OVHوiPage  کشف کرد که تقریبا هفت میلیون دامنه است.
برخی از آسیب پذیری ها بسیار ساده هستند زیرا می توانند مهاجمین را به فریب قربانیان بر روی یک لینک ساده یا بازدید از وب سایت های مخرب بسپارند تا بتوانند حساب های هر فردی را با استفاده از ارائه دهنده خدمات میزبانی وب تحت تأثیر قرار دهند.
نقص های بحرانی که در خدمات میزبانی وب محبوب گزارش شده است
Yibelo تمامی آسیب پذیری های ذکر شده در زیر را در هر پنج سیستم عامل میزبانی وب مورد آزمایش کرده است  و چندین حساب کاربری، متقابل اسکریپت و آسیب پذیری های افشای اطلاعات را کشف کرده که همه در وب سایت آن نوشته شده است.
۱. Bluehost – شرکت متعلق به Endurance که Hostgator و iPage نیز دارد، و در کل، سه ارائه دهنده میزبانی وب بیش از ۲ میلیون سایت در سراسر جهان را تأمین می کند. Bluehost آسیب پذیر است:

  • نشت اطلاعات از طریق cross-origin-resource-sharing (CORS)
  •   گرفتن پذیرش حساب به دلیل اعتبار نامعتبر درخواست JSON CSRF
  • به دلیل اعتبار نامناسب طرح CORS، می توان یک حمله Man-in-the-middle  را انجام داد
  • نقص اسکریپت Cross-site در my.bluehost.com اجازه می دهد تا حساب کاربری proof-of-concept شود
۲. Dreamhost – ارائه دهنده ی میزبانی وب که دارای یک میلیون دامنه می باشد، آسیب پذیر است:
  • گرفتن پذیرش حساب با استفاده از اسکریپت Cross-Site Scripting (XSS)
۳–  HostGator
  • دور زدن حفاظت از CSRF سایت امکان کنترل کامل را فراهم می کند
  • نابهنجاری چندین CORS منجر به نشت اطلاعات و CRLF می شود

۴. OVH Hosting – شرکتی که به تنهایی چهار میلیون دامنه در سراسر جهان را در اختیار دارد، آسیب پذیر است:

  • CSRF protection bypass
  • API misconfigurations

۵. iPage Hosting

  • خرابی حساب کاربری
  •   سیاست امنیتی چندگانه (CSP) را دور می زند

با صحبت کردن به خبرهای هکر، Yibelo گفت که او در حدود یک ساعت در هر یک از پنج پلتفرم میزبانی وب به طور متوسط حداقل یک آسیب پذیری مربوط به نفوذ در حساب کاربری را پیدا کرده است، بیشتر از Burp Suite، یک ابزار تست امنیتی وب کاربردی ، و پلاگین مرورگر فایرفاکس است.

در میان شرکت های میزبانی شده تحت تاثیر قرار، یوبیولو Bluehost، HostGator و iPage را به عنوان ساده ترین ها برای هک کردن پیدا کرد، هرچند او به The Hacker News گفت: HostGator شامل “چند لایه چک های امنیتی است که می تواند آنها را هم کنار گذاشت”

[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
علیرضا خبیر
مشاور و مدرس تست نفوذ و امنیت شبکه‌های اداری و صنعتی
[/av_textblock]
[av_heading tag=’h1′ padding=’10’ heading=’لینک ها ‘ color=’custom-color-heading’ style=’blockquote modern-quote modern-centered’ custom_font=’#37ef34′ size=” subheading_active=” subheading_size=’15’ custom_class=” admin_preview_bg=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

بخش آموزش های سایت

[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

[/av_textblock]
[av_font_icon icon=’ue8b7′ font=’entypo-fontello’ style=’border’ caption=’لینک کانال تلگرام’ link=’manually,http://t.me/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_font_icon icon=’ue909′ font=’entypo-fontello’ style=’border’ caption=’لینک اینستاگرام’ link=’manually,https://www.instagram.com/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_postslider link=’category,71,72,70,1,73′ wc_prod_visible=” prod_order_by=” prod_order=” columns=’5′ items=’-1′ offset=’0′ contents=’title’ preview_mode=’auto’ image_size=’portfolio’ autoplay=’yes’ interval=’5′]