أخبار الإنترنت

Twitter يدافع عن نفسه للمرة الثانية أمام هجوم من طراز clickjacking

أعلن موقع Twitter مؤخرا عن نجاحه في صد هجوم ثاني من طراز “clickjacking” مساء يوم الخميس الماضي، وهو ما أكده Biz Stone، المساهم في تأسيس Twitter، والذي أشار إلى أن الهجوم الثاني كان أشبه بالهجوم الأول ولكن مع اختلاف طفيف في الأسلوب.

وتم الهجوم من خلال ظهور مشاركات (يطلق عليها tweets في موقع Twitter) بعنوان “لا تنقر” (Don’t Click) متبوعة برابط. والنقر على الرابط يأخذ المستخدم إلى صفحة تتضمن زر بعنوان “لا تنقر” أيضا، وعند النقر على الزر يتم نشر نفس المشاركة بشكل تلقائي وهو ما ساهم في انتشار هذه الحيلة الخبيثة بسرعة كبيرة بين المستخدمين.

وبعد أن تصدى Twitter للهجوم الأول، عادت المشاركات الخبيثة للظهور مجددا حيث أن الشخص المسئول عن الهجوم استطاع التحايل على الإصلاح الذي نفذه موقع Twitter، وهو ما أكده Jeremiah Grossman المسئول التقني الأول في شركة WhiteHat Security.

ولكن ما الضرر من الهجوم؟ يمكن القول أن هجمات clickjacking، بصورة عامة، ليست مؤذية، ولكن يمكن استخدامها لأي أغراض خبيثة مستقبلا، وبالعودة إلى الهجوم على Twitter، فأن الصفحة التي بها زر “لا تنقر” تحتوي إطار مخفي يتضمن زر لتطوير الحالة موضوع فوق الزر الظاهر وهو ما ساهم في خداع المستخدمين.

واعتمد موقع Twitter في دفاعه ضد الهجوم الأول على القيام بعملية مسح شامل لصفحات الموقع وتنفيذ عمليات تطهير وتنظيف لأي صفحة تتضمن إطار، ولكن بعد التفاف شخص ما حول هذا الأسلوب الدفاعي أضطر الموقع لإتباع أسلوب إصلاحي أخر.

وأشار Grossman أن مستخدمي متصفح Firefox يمكنهم تنزيل امتداد غير نصي للحماية من هجوم الــ “clickjacking” أما الإصدارات الحالية من متصفح Internet Explorer فلا تتضمن أي حماية من هذا النوع من الهجمات، ولكن من المنتظر توافرها في Internet Explorer 8، أما بالنسبة للهجوم على Twitter فأشار Grossman أنه أشبه بلعبة القط والفأر وأن Twitter هو من فاز فيها “حتى الآن”.

زر الذهاب إلى الأعلى