نقص React Developer Tools منجر به حملات DDoS می‌شود

کمیته رکن چهارم – به تازگی آسیب‌‌‌‌پذیری جدیدی در React Developer Tools کشف شده است که می‌تواند منجر به حملات DDoS توسط مهاجمان شود.

به تازگی آسیب‌‌‌‌پذیری جدیدی در React Developer Tools نسخه ۴٫۲۷٫۸ کشف شده است. در این آسیب‌پذیری به دلیل عدم اعتبارسنجی URL، مهاجم قادر است با بهره‌برداری از آن‌‌‌، حملات DDoS را اجرا نماید.

React Developer Tools ابزاری کاربردی برای توسعه‌‌‌دهندگان جهت بررسی مولفه‌‌‌های React است که با استفاده از آن می‌توانند ویژگی‌‌‌ها و وضعیت این مولفه‌‌‌ها را اصلاح و هرگونه مشکلات موجود در عملکرد آن را مشخص کنند. توسعه‌‌‌دهندگان با استفاده از این ابزار می‌‌‌توانند به راحتی عملکرد برنامه‌‌‌های React را بهینه کرده و تجربه کاربری روان و کارآمدی را برای کاربران فراهم نمایند.

React Developer Tools یک شنونده پیام (message listener) را در یک اسکریپت محتوا ثبت می‌‌‌کند که توسط یک صفحه وب فعال در مرورگر قابل دسترسی است. زمانی‌‌‌که کد شنونده، URL مشتق شده از پیام دریافتی را درخواست می‌‌‌کند، URL اعتبارسنجی نمی‌‌‌شود و به یک صفحه وب مخرب اجازه می‌‌‌دهد تا URLها را از طریق مرورگر قربانی به طور دلخواه واکشی کنند.

یکی از روش‌‌‌های بهره‌برداری از این آسیب‌‌‌پذیری، ایجاد کلیک‌‌‌های تبلیغاتی است که مهاجمان را قادر می‌‌‌‌‌‌سازد تا با استفاده از آن به درآمدزایی برسند. این روش همچنین می‌‌‌تواند با مرورگرهای دیگر ترکیب شده و بدون اطلاع یا رضایت کاربر قربانی، منجر به حمله DDoS شود. در واقعیت این احتمال وجود دارد که صفحه وب مخرب به طور خودکار پیام‌‌‌هایی را بدون نیاز به تعامل کاربر به افزونه ارسال کند.

تمامی وب‌‌‌‌‌سایت‌‌‌‌‌هایی که از React Developer Tools نسخه ۴٫۲۷٫۸ استفاده می‌‌‌‌‌کنند تحت تاثیر این آسیب‌پذیری قرار دارند.

آسیب‌‌‌‌‌‌پذیری مورد بحث در نسخه ۴٫۲۸٫۴ رفع شده است و کاربران می‌‌‌‌‌‌توانند با بروزرسانی به این نسخه از خطرات احتمالی جلوگیری کنند.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.