रूसी खोज र इन्टरनेट सेवाहरूको विशाल यान्डेक्सले इजिप्टका सुरक्षा अनुसन्धानकर्ता मोमेन अलीले पत्ता लगाएको सम्भावित रूपमा गम्भीर सर्भर-साइड रिक्वेस्ट जालसाजी (एसएसआरएफ) जोखिम समाधान गरेको छ।
अली (उर्फ ‘द साइबरकेटा’) ले यान्डेक्सको पूर्वाधारको व्यवस्थित खोजी पछि भेद्यता पत्ता लगाए।
तिनीहरूले यान्डेक्सको बग बाउन्टी मार्फत जोखिम रिपोर्ट गरे, नोभेम्बर २०२१ को लागि संस्थाको हल अफ फेममा स्थान कमाए पछि समस्या प्रमाणित र यसको विकास टोलीद्वारा समाधान गरिए।
असुरक्षाको समाधानले बग बाउन्टी शिकारको लागि आफ्नो दृष्टिकोण, विभिन्न गुगल डर्कहरू प्रयोग गरेर यान्डेक्सको पूर्वाधारमा सम्भावित लक्ष्यहरू पहिचान गर्नको लागि उनको खोज, र एसएसआरएफ को कमजोरी उसले अन्ततः खुलासा गर्ने बारे प्राविधिक ब्लग पोष्ट प्रकाशित गर्ने बाटो खुला गर्यो।
जोखिमको मूल कारण प्रोक्सी सेवा प्रदायक हेडरमा निर्दिष्ट सेवा प्रदायक नाममा सर्भर फर्वार्डिङ अनुरोधहरू गलत कन्फिगर गरिएको थियो। अलीले आफ्नो लेखनमा वर्णन गरेझैं “एसएसआरएफ एक्ष -फर्वार्ड सेवा प्रदायक जस्ता एहतितिपी हेडरहरू इन्जेक्सन गर्दा भएको हो, त्यसैले मेरो मामलामा एसएसआरएफ एहतितिपी हेडरमा थियो,” ।
अलीले बर्प इन्ट्रुडर, बर्प सहयोगी, र न्यूक्ली टेम्प्लेट स्क्यानरको संयोजन प्रयोग गरी कमजोरी पत्ता लगाउन र प्रमाणित गर्न प्रयोग गर्यो।
सर्भर-साइड मनोरन्जन
सामान्यतया एसएसआरएफ आक्रमणहरूले आक्रमणकर्तालाई सर्भर-साइड अनुप्रयोगलाई आक्रमणकर्ताद्वारा चयन गरिएको डोमेनमा एहतितिपी अनुरोधहरू गर्न, सामान्यतया दुर्भावनापूर्ण उद्देश्यका लागि चलाउन अनुमति दिन्छ।
यो प्राधिकरण प्रमाणहरू बन्द गर्न, केही आक्रमण परिदृश्यहरूमा, वा संगठनको पूर्वाधार भित्र आन्तरिक-मात्र सेवाहरूमा जडान गर्नको लागि सर्भर प्राप्त गर्न सकिन्छ।
