Sarah

Remiantis tuo, ką galima perskaityti „The Next“ tinklalapyje, britų tyrinėtojas pranešė apie daugybę paauglių populiarėjančios „Sarahah“ programos saugumo trūkumų. Sarahah arabiškai reiškia sąžiningumą. Ir nors daugelis naudoja programą norėdami priekabiauti ar praktikuoti patyčias, programos tikslas yra visiškai priešingas: pagirti mūsų kolegas. Saugumo problemos, su kuriomis jie susiję, apsiriboja tik „Sarahah“ programos darbalaukio versija, todėl jos mobilioji versija šiuo metu paliekama nemokama.

Sarahah žiniatinklio versiją kamuoja daugybė klaidų

Tyrėjas Scottas Helme'as išsiaiškino, kad Sarahah svetainėje esantį CSRF viruso apsaugą buvo labai lengva pažeisti. CSRF virusas yra nepaprastai žalingas ir pavojingas, nes jis gali perimti mūsų paskyros kontrolę, atliekant su mūsų naudojimu nesusijusias operacijas. Užpuolikas, aiškina Helme, gali naudoti mūsų paskyrą kitoms nežinomoms paskyroms pažymėti, kad gautų finansinės naudos.

Jis taip pat atkreipia dėmesį į tai, kad praėjusį rugpjūtį kitas tyrėjas Rony Das taip pat aptiko daugiau saugumo spragų. Tiksliau, jis aptiko XSS pažeidžiamumą. Trumpai tariant: įsilaužėlis į Sarahah puslapio HTML gali įterpti kenkėjišką kodą, kuriame gali būti virusų ir šnipinėjimo programų.

Kitos problemos: „Helme“ aptiko rimtų klaidų saugos antraštėje, kuri neleidžia naudoti HSTS saugos protokolo. Tai įrankis, kuris vis dažniau naudojamas kovojant su slapukų užgrobimu ir atakos galimybe pasinaudojant senomis žiniatinklio versijomis. Helme darbas yra pabandyti priversti Sarahah tinkamai apsaugoti savo vartotojus. Kaip teigiama žiniatinklyje, puikus jo konkurentas Ask.fm yra svetainė, kurioje gausu klaidų ir saugos trūkumų. Taigi, kas geriau nei Sarahah pasimokyti iš šio nesėkmių ir tapti saugiu tinklalapiu.

Priekabiavimas ir griovimas: Sarahah pavojus žiniatinklyje

Dėl saugumo ir kovos su priekabiavimu filtro tyrėjas taip pat turi ką pasakyti. Jis pastebėjo, kad, pavyzdžiui, sakinyje „Aš užmuščiau sūrio mėsainį“, programa ištrins įrašą, nes randa neigiamą žodį „Nužudyk“.Tačiau, jei po „Užmuštų“ būtų dedamas kablelis, programa to nepaisys. Taip, tai nėra gramatiškai teisinga, bet žinutė vis tiek pasisektų.

Ir daugiau nesėkmių: Sarahah puslapyje neribojama greitis, kuriuo jo vartotojai rašo komentarus, todėl kiekvienas gali patirti priekabiavimo bombardavimą, naudodamas paprastą scenarijų. Sarahah taip pat neturi jokios masinio ištrynimo funkcijos, todėl jei esame komentarų bombardavimo aukos, turime ištrinti juos po vieną.

Be to, norint iš naujo nustatyti slaptažodį Sarahah, svetainė paprašys vartotojo tik su paskyra susieto el. pašto adreso. Paprašius, sistema sugeneruoja naują ir automatiškai išsiunčia jį vartotojui. Šia prasme įsilaužėlis gali pakeisti scenarijaus eilutę taip, kad slaptažodis keistųsi kiekvieną akimirką, o paskyros savininkas negalėtų prie jos prieiti.Tas pats scenarijus taip pat gali būti naudojamas norint, kad prieiga prie paskyros būtų nesėkminga, net jei slaptažodis galioja. Sarahah užrakina visas vartotojų paskyras, kurios turi daugiau nei 10 bandymų prisijungti.

Tyrėjas vėliau susisiekė su Sarahah ir informavo ją apie visa tai saugumo pažeidimų lavina savo internetinėje versijoje. Tyrimas, užtrukęs kelis mėnesius ir kuris pagaliau gali paversti Sarahah programą bendruomene be priekabiavimo ir iš anksto apgalvotų kibernetinių atakų.