الأمن الإلكتروني

الهاكر المصري “رمضان” يتألق من جديد ويكتشف ثغرات متعددة في تطبيقات “ريد هات”

أعلنت مؤسسة Red Hat (ريد هات) الرائدة في عالم المصدر المفتوح وحلوله عبر موقعها على الإنترنت عن إصلاحها عدة برمجيات ويب كانت تسمح للقراصنة باستخراج المعلومات من قواعد البيانات باستخدام حقن Blind SQL.

وقال الهاكر الأخلاقي والمدرب والباحث الأمني المصري “محمد رمضان” بأنه قد أخبر المؤسسة عن ثلاثة عيوب في نهاية عام 2012، وقامت بإصلاحها مع بداية عام 2013.

ويعتبر حقن برمجيات Blind SQL مطابقًا لحقن SQL العادي، إلا أنه عندما يحاول المهاجم استغلال التطبيق تظهر له الصفحة الرسمية المحددة من قِبل المطور بدلًا من ظهور رسالة خطأ. واستخدام Blind SQL يزيد من صعوبة الهجمة إلا أنه ليس مستحيلًا.

وفي تصريح خاص بالبوابة العربية التقنية، قال رمضان: “إن إدراج هذه البرمجيات تسمح للمهاجمين بقراءة الملفات التي تم تخزينها عن طريق شبكة الإنترنت. وأحد أسباب هذه الثغرة هو عدم احتواء النص البرمجي للتطبيق على include() بالشكل الصحيح”.

يُذكر أن رمضان كان قد اكتشف مؤخرًا ثغرة خطيرة في تطبيق الكاميرا الخاص بموقع فيسبوك على أجهزة iOS (آيفون وآيباد) تتيح إمكانية اختراق حساب المستخدم عبر شبكات الواي فاي، وقامت فيسبوك بإصلاح الثغرة وقدمت مكافأة له.

زر الذهاب إلى الأعلى