زوم ویب کانفرنسنگ کے لیے وسیع پیمانے پر استعمال ہونے والا ٹول ہے، لیکن اسے حملہ آوروں کے ذریعے ورڈپریس تنصیبات میں صارف نام کی گنتی کے لیے بھی استعمال کیا جا سکتا ہے۔ صارف نام کی گنتی ٹارگٹ سسٹم کے لیے درست صارف ناموں کو دریافت کرنے کا عمل ہے، جسے بعد میں مزید حملوں میں استعمال کیا جا سکتا ہے جیسے کہ پاس ورڈ کو زبردستی کرنا یا ٹارگٹڈ فشنگ مہمات شروع کرنا۔ اس تناظر میں، زوم ورڈپریس میں ایک مخصوص کمزوری کا فائدہ اٹھا کر صارف ناموں کی گنتی میں مدد کر سکتا ہے۔
یہ سمجھنے کے لیے کہ زوم کس طرح صارف کے نام کی گنتی میں سہولت فراہم کرتا ہے، ہمیں اس بنیادی کمزوری کو تلاش کرنے کی ضرورت ہے جس سے یہ فائدہ اٹھاتا ہے۔ ورڈپریس، ایک مقبول مواد کے انتظام کے نظام کے طور پر، اکثر حملہ آوروں کی طرف سے نشانہ بنایا جاتا ہے. ورڈپریس میں عام کمزوریوں میں سے ایک پاس ورڈ دوبارہ ترتیب دینے کی فعالیت کے ذریعے صارف ناموں کو شمار کرنے کی صلاحیت ہے۔
جب کوئی صارف ورڈپریس میں پاس ورڈ دوبارہ ترتیب دینے کی درخواست کرتا ہے، تو سسٹم ایک مخصوص ایرر میسج کے ساتھ جواب دیتا ہے اس پر منحصر ہے کہ فراہم کردہ صارف نام موجود ہے یا نہیں۔ اگر صارف نام موجود ہے تو، ورڈپریس ایک غلطی کا پیغام دکھاتا ہے جس میں بتایا گیا ہے کہ متعلقہ ای میل ایڈریس پر ای میل بھیجی گئی ہے۔ دوسری طرف، اگر صارف نام موجود نہیں ہے، تو ورڈپریس ایک مختلف غلطی کا پیغام دکھاتا ہے جس میں کہا جاتا ہے کہ صارف نام غلط ہے۔
حملہ آور ممکنہ صارف ناموں کی فہرست کے لیے پاس ورڈ دوبارہ ترتیب دینے کی درخواست کے عمل کو خودکار بنا کر درست صارف ناموں کی گنتی کے لیے اس طرز عمل کا فائدہ اٹھا سکتے ہیں۔ پاس ورڈ دوبارہ ترتیب دینے کی درخواستوں کے دوران موصول ہونے والے غلطی کے پیغامات کی نگرانی کرکے، حملہ آور اس بات کا تعین کر سکتے ہیں کہ کون سے صارف نام درست ہیں اور کون سے نہیں۔
یہ وہ جگہ ہے جہاں زوم کھیل میں آتا ہے۔ زوم صارفین کو ویب کانفرنسوں کے دوران اپنی اسکرینوں کا اشتراک کرنے کی اجازت دیتا ہے، جس سے شرکاء کو پیش کیے جانے والے مواد کو دیکھنے کے قابل بناتا ہے۔ حملہ آور اپنی اسکرین کا اشتراک کرکے اور ممکنہ صارف ناموں کی فہرست کے لیے پاس ورڈ دوبارہ ترتیب دینے کی درخواستیں شروع کرکے اس خصوصیت کا فائدہ اٹھا سکتا ہے۔ مشترکہ سکرین پر دکھائے گئے ایرر میسیجز کو دیکھ کر حملہ آور آسانی سے شناخت کر سکتا ہے کہ ورڈپریس انسٹالیشن میں کون سے صارف نام موجود ہیں۔
یہ بات قابل غور ہے کہ صارف نام کی گنتی کا یہ طریقہ اس مفروضے پر انحصار کرتا ہے کہ ورڈپریس کی تنصیب نے اس طرح کے حملوں کو روکنے کے لیے کوئی انسدادی اقدامات نہیں کیے ہیں۔ ورڈپریس ڈویلپرز اس خطرے کو کم کر کے اس خطرے کو کم کر سکتے ہیں کہ پاس ورڈ دوبارہ ترتیب دینے کے عمل کے دوران ظاہر ہونے والے غلطی کے پیغامات عام ہیں اور یہ ظاہر نہیں کرتے کہ صارف نام موجود ہے یا نہیں۔ مزید برآں، شرح کو محدود کرنے یا کیپچا میکانزم کو نافذ کرنے سے خودکار گنتی کی کوششوں کو روکنے میں مدد مل سکتی ہے۔
خلاصہ کرنے کے لیے، زوم ورڈپریس تنصیبات کے لیے صارف نام کی گنتی میں پاس ورڈ دوبارہ ترتیب دینے کی فعالیت میں کمزوری کا فائدہ اٹھا کر مدد کر سکتا ہے۔ ویب کانفرنس کے دوران اپنی اسکرین کا اشتراک کرکے، حملہ آور ممکنہ صارف ناموں کی فہرست کے لیے پاس ورڈ دوبارہ ترتیب دینے کی درخواست کے عمل کو خودکار کر سکتا ہے اور درست صارف ناموں کا تعین کرنے کے لیے دکھائے گئے غلطی کے پیغامات کا مشاہدہ کر سکتا ہے۔ ورڈپریس کے منتظمین کے لیے یہ بہت ضروری ہے کہ وہ اس طرح کے گنتی کے حملوں کو روکنے کے لیے مناسب جوابی اقدامات کو نافذ کریں۔
سے متعلق دیگر حالیہ سوالات اور جوابات EITC/IS/WAPT ویب ایپلیکیشنز کی رسائی کی جانچ:
- ہم عملی طور پر وحشیانہ طاقت کے حملوں کے خلاف کیسے دفاع کر سکتے ہیں؟
- برپ سویٹ کس کے لیے استعمال ہوتا ہے؟
- کیا ڈائرکٹری ٹراورسل فزنگ خاص طور پر ویب ایپلیکیشنز فائل سسٹم تک رسائی کی درخواستوں کو ہینڈل کرنے کے طریقے سے کمزوریوں کو دریافت کرنے کے لیے ہدف رکھتی ہے؟
- پروفیشنل اور کمیونٹی برپ سویٹ میں کیا فرق ہے؟
- فعالیت کے لیے ModSecurity کی جانچ کیسے کی جا سکتی ہے اور Nginx میں اسے فعال یا غیر فعال کرنے کے کیا اقدامات ہیں؟
- ModSecurity ماڈیول کو Nginx میں کیسے فعال کیا جا سکتا ہے اور ضروری کنفیگریشنز کیا ہیں؟
- Nginx پر ModSecurity کو انسٹال کرنے کے کیا اقدامات ہیں، اس بات پر غور کرتے ہوئے کہ یہ سرکاری طور پر تعاون یافتہ نہیں ہے؟
- Nginx کو محفوظ کرنے میں ModSecurity Engine X کنیکٹر کا مقصد کیا ہے؟
- ویب ایپلیکیشنز کو محفوظ بنانے کے لیے ModSecurity کو Nginx کے ساتھ کیسے ضم کیا جا سکتا ہے؟
- ModSecurity کی جانچ کیسے کی جا سکتی ہے تاکہ یہ یقینی بنایا جا سکے کہ عام سیکورٹی کے خطرات سے تحفظ میں اس کی تاثیر ہے؟
مزید سوالات اور جوابات EITC/IS/WAPT ویب ایپلیکیشنز پینیٹریشن ٹیسٹنگ میں دیکھیں