Zoom нь вэб хурал хийхэд өргөн хэрэглэгддэг хэрэгсэл боловч халдагчид WordPress суулгацын хэрэглэгчийн нэрийг тоолоход ашиглаж болно. Хэрэглэгчийн нэр тоолох нь зорилтот системийн хүчинтэй хэрэглэгчийн нэрийг олж илрүүлэх үйл явц бөгөөд дараа нь нууц үг оруулах, зорилтот фишинг хийх гэх мэт халдлагад ашиглаж болно. Энэ хүрээнд Zoom нь WordPress-ийн тодорхой эмзэг байдлыг ашиглан хэрэглэгчийн нэрийг тоолоход тусална.
Zoom нь хэрэглэгчийн нэрийг тоолоход хэрхэн тусалдаг болохыг ойлгохын тулд бид түүний ашигладаг үндсэн эмзэг байдлыг судлах хэрэгтэй. WordPress нь түгээмэл агуулгын удирдлагын систем учраас халдагчид ихэвчлэн онилдог. WordPress-ийн нийтлэг эмзэг байдлын нэг бол нууц үг шинэчлэх функцээр дамжуулан хэрэглэгчийн нэрийг тоолох чадвар юм.
Хэрэглэгч WordPress дээр нууц үгээ шинэчлэх хүсэлт гаргахад систем нь тухайн хэрэглэгчийн нэр байгаа эсэхээс хамаарч тодорхой алдааны мессежээр хариу өгдөг. Хэрэв хэрэглэгчийн нэр байгаа бол WordPress нь холбогдох имэйл хаяг руу имэйл илгээсэн гэсэн алдааны мессежийг харуулдаг. Нөгөө талаас, хэрэв хэрэглэгчийн нэр байхгүй бол WordPress нь хэрэглэгчийн нэр буруу гэсэн өөр алдааны мессежийг харуулдаг.
Халдагчид боломжит хэрэглэгчийн нэрсийн жагсаалтад нууц үг шинэчлэх хүсэлт гаргах үйл явцыг автоматжуулж хүчин төгөлдөр хэрэглэгчийн нэрийг тоолохын тулд энэ зан үйлийг ашиглаж болно. Нууц үг шинэчлэх хүсэлтийн үеэр хүлээн авсан алдааны мэдэгдлийг хянаж, халдагчид аль хэрэглэгчийн нэр хүчинтэй, аль нь буруу болохыг тодорхойлох боломжтой.
Эндээс Zoom хэрэгжиж байна. Томруулах нь хэрэглэгчдэд вэб хурлын үеэр дэлгэцээ хуваалцах боломжийг олгож, оролцогчдод үзүүлж буй контентыг үзэх боломжийг олгодог. Халдагчид дэлгэцээ хуваалцаж, боломжит хэрэглэгчийн нэрсийн жагсаалтад нууц үг шинэчлэх хүсэлтийг эхлүүлснээр энэ функцийг ашиглаж болно. Хуваалцсан дэлгэц дээр гарч буй алдааны мэдэгдлүүдийг ажигласнаар халдагчид WordPress суулгацад ямар хэрэглэгчийн нэр байгааг хялбархан тодорхойлж чадна.
Хэрэглэгчийн нэрийг тоолох энэ арга нь WordPress суулгац нь ийм халдлагаас урьдчилан сэргийлэх ямар ч эсрэг арга хэмжээ аваагүй гэсэн таамаглал дээр тулгуурладаг гэдгийг тэмдэглэх нь зүйтэй. WordPress хөгжүүлэгчид нууц үг шинэчлэх явцад гарч буй алдааны мэдэгдлүүд нь нийтлэг байх ба хэрэглэгчийн нэр байгаа эсэхийг харуулахгүй байх замаар энэхүү эмзэг байдлыг бууруулж чадна. Нэмж дурдахад хурдыг хязгаарлах эсвэл CAPTCHA механизмыг хэрэгжүүлэх нь автоматаар тоолох оролдлогоос урьдчилан сэргийлэхэд тусална.
Дүгнэж хэлэхэд, Zoom нь нууц үг шинэчлэх функцийн сул талыг ашиглан WordPress суулгацын хэрэглэгчийн нэрийг тоолоход тусална. Халдагчид вэб хурлын үеэр дэлгэцээ хуваалцсанаар боломжит хэрэглэгчийн нэрсийн жагсаалтад нууц үг шинэчлэх хүсэлт гаргах процессыг автоматжуулж, хэрэглэгчийн хүчинтэй нэрийг тодорхойлохын тулд гарч буй алдааны мэдэгдлийг ажиглаж болно. WordPress-ийн администраторууд ийм тооллогын халдлагаас урьдчилан сэргийлэхийн тулд зохих эсрэг арга хэмжээ авах нь маш чухал юм.
Сүүлийн үеийн бусад асуулт, хариулт EITC/IS/WAPT вэб програмын нэвтрэлтийн тест:
- Практикт харгис хүчний дайралтаас хэрхэн хамгаалах вэ?
- Burp Suite юунд ашиглагддаг вэ?
- Лавлах дамжлага нь вэб программууд файлын системд хандах хүсэлтийг зохицуулах арга замын эмзэг байдлыг илрүүлэхэд тусгайлан чиглэгддэг үү?
- Мэргэжлийн болон олон нийтийн Burp Suite хоёрын хооронд ямар ялгаа байдаг вэ?
- ModSecurity-ийн ажиллагааг хэрхэн шалгах вэ, Nginx дээр үүнийг идэвхжүүлэх эсвэл идэвхгүй болгох алхамууд юу вэ?
- Nginx дээр ModSecurity модулийг хэрхэн идэвхжүүлэх вэ, шаардлагатай тохиргоонууд юу вэ?
- Албан ёсоор дэмжигдээгүй байгаа тул Nginx дээр ModSecurity суулгахын тулд ямар алхам хийх хэрэгтэй вэ?
- ModSecurity Engine X холбогч нь Nginx-ийг хамгаалахад ямар зорилготой вэ?
- Вэб програмуудыг хамгаалахын тулд ModSecurity-ийг Nginx-тэй хэрхэн нэгтгэх вэ?
- ModSecurity-ийг аюулгүй байдлын нийтлэг эмзэг байдлаас хамгаалах үр дүнтэй эсэхийг хэрхэн шалгах вэ?
Бусад асуулт, хариултыг EITC/IS/WAPT вэб програмын нэвтрэлтийн тестээс үзнэ үү