Sarahah
Satura rādītājs:
Saskaņā ar The Next Web lapā lasāmo, kāds britu pētnieks ir ziņojis par neskaitāmām drošības nepilnībām lietojumprogrammā Sarahah, kas ir ļoti populāra pusaudžu vidū. Sarahah arābu valodā nozīmē godīgums. Un, lai gan daudzi izmanto lietojumprogrammu, lai uzmāktos vai praktizētu iebiedēšanu, lietojumprogrammas mērķis ir tieši pretējs: izteikt komplimentus mūsu līdzcilvēkiem. Drošības problēmas, uz kurām tās attiecas, attiecas tikai uz lietojumprogrammas Sarahah darbvirsmas versiju, pagaidām atstājot tās mobilo versiju bez maksas.
Sarahah tīmekļa versiju nomoka daudz kļūdu
Skots Helme, pētnieks, atklāja, ka CSRF vīrusu aizsardzību Sarahah tīmekļa vietnē ir ļoti viegli uzlauzt. CSRF vīruss ir ārkārtīgi kaitīgs un bīstams, jo tas spēj pārņemt kontroli pār mūsu kontu, veicot darbības, kas nav saistītas ar mūsu lietošanu. Uzbrucējs, skaidro Helme, varētu izmantot mūsu kontu, lai pievienotu grāmatzīmēm citus nezināmus kontus, lai gūtu finansiālu peļņu.
Viņš arī norāda, ka pagājušā gada augustā cits pētnieks Ronijs Das atklāja arī vairāk drošības caurumu. Konkrētāk, tajā tika atrasta XSS ievainojamība. Īsi sakot: hakeris varētu ievietot Sarahah lapas HTML kodā ļaunprātīgu kodu, kas varētu ietvert vīrusus un spiegprogrammatūru.
Citas problēmas: Helme atklāja nopietnas kļūdas drošības galvenē, kas neļauj izmantot HSTS drošības protokolu. Šis ir rīks, ko arvien vairāk izmanto, lai cīnītos pret sīkfailu nolaupīšanu un uzbrukuma iespējamību, izmantojot vecās tīmekļa versijas. Helmes uzdevums ir mēģināt panākt, lai Sarahah pienācīgi aizsargātu savus lietotājus. Kā norāda tīmeklis, tā lielais konkurents Ask.fm ir vietne, kurā ir daudz kļūdu un drošības nepilnības. Tātad, kas ir labāks par Sāru, lai mācītos no šīs lapas neveiksmēm un kļūtu par drošu tīmekļa lapu.
Uzmākšanās un nojaukšana: Sārahas briesmas tīmeklī
Attiecībā uz drošības un pretuzmākšanās filtru pētniekam arī ir ko teikt. Viņš novērojis, ka, piemēram, teikumā "Es nogalinātu par čīzburgeru" aplikācija izdzēsīs ierakstu, jo atrod negatīvu vārdu "Nogalināt".Tomēr, ja komats tiek likts aiz "Nogalinātu", lietojumprogramma to ignorētu. Jā, tas nav gramatiski pareizi, taču ziņa tik un tā tiktu cauri.
Un vēl neveiksmes: Sarahah lapai nav ierobežojumu attiecībā uz ātrumu, kādā tās lietotāji raksta komentārus, tāpēc ikviens var ciest no uzmākšanās, izmantojot vienkāršu skripta līniju. Sarahah arī nav masveida dzēšanas funkcijas, tāpēc, ja mēs esam , mums tie ir jāizdzēš pa vienam.
Turklāt, lai atiestatītu paroli Sarahahā, vietne lietotājam pieprasa tikai ar kontu saistīto e-pasta adresi. Pēc pieprasījuma sistēma ģenerē jaunu un automātiski nosūta to lietotājam. Šajā ziņā hakeris varētu mainīt skripta rindiņu tā, lai parole mainītos katru mirkli un tādējādi konta īpašniekam nebūtu iespējams tai piekļūt.Šo pašu skriptu var izmantot arī, lai nesekmīgi piekļūtu kontam, pat ja parole ir derīga. Sarahah bloķē visus lietotāju kontus, kuriem ir vairāk nekā 10 pieteikšanās mēģinājumi.
Pētniece vēlāk sazinājās ar Sarahu, lai informētu viņu par visu šo drošības pārkāpumu lavīnu savā tīmekļa versijā. Izmeklēšana, kas prasījusi vairākus mēnešus ilga viņa laika un kas beidzot var padarīt Sarahah lietojumprogrammu par kopienu, kurā nav uzmākšanās un iepriekš plānotiem kiberuzbrukumiem.
