Анонимният месинджър Sarahah е податлив на редица уязвимости
Web-версията на известния мобилен месинджър за анонимни мнения Sarahah, оглавяващ класациите на AppStore и Гугъл Play Store, е предмет на няколко минуса в сигурността, в това число допускащ осъществяване на XSS и CSRF офанзиви, твърди откривателят Скот Хелм.
Приложението Sarahah (в превод от арабски “искреност”), разрешава на потребителите да получават анонимни мнения, само че без да могат да отговорят на тези послания, а единствено да конфигурират филтри за най-очевидните обиди.
Според Хелм, в приложението е налице отбрана от CSRF офанзива, само че е много елементарно да се заобиколи. Останалите открити от специалиста проблеми: съществуване на обикновена система за пречистване, липса на ограничаване за броя на изпратените известия единствено на един консуматор (само за няколко секунди, експертът е съумял да изпрати няколко стотин известия на тестов акаунт) и несигурна процедура за нулиране на паролата. Потребителят може да смени паролата на непознат акаунт, като вкара своя имейл адрес и паролата неотложно се изпраща на неговата пощенска кутия.
Както изяснява откривателя, този механизъм може да се употребява за промяна на паролата на непознати сметки. С помощта на основания от тях скрипт, Хелм е успял на всеки 30 секунди да сменя паролата на непознати сметки.
Другият проблем е в открития предел (от 10 опита) на броя на опитите за вход в акаунта. Според откривателя, нападателите, знаещи имейл-адреса на потребителя, могат да блокират профила му.
Хелм е съобщил на администрацията на Sarahah за откритите от него проблеми при започване на август тази година, само че разработчикът е реагирал на известията на откривателя едвам при започване на септември. В края на същия месец, компанията заяви, че огромните уязвимости към този момент са поправени, само че въпросът на Хелм е за кои тъкмо проблеми става въпрос, само че отговор не е получил.
Припомняме, че по-рано програмата Sarahah бе уличена в прекачване на данни от мобилните телефони на потребителите към сървъри на компанията-разработчик.
Sarahah – приложение, което разрешава на потребителите да изпращат мнения за други консуматори в цялостна анонимност.
Приложението Sarahah (в превод от арабски “искреност”), разрешава на потребителите да получават анонимни мнения, само че без да могат да отговорят на тези послания, а единствено да конфигурират филтри за най-очевидните обиди.
Според Хелм, в приложението е налице отбрана от CSRF офанзива, само че е много елементарно да се заобиколи. Останалите открити от специалиста проблеми: съществуване на обикновена система за пречистване, липса на ограничаване за броя на изпратените известия единствено на един консуматор (само за няколко секунди, експертът е съумял да изпрати няколко стотин известия на тестов акаунт) и несигурна процедура за нулиране на паролата. Потребителят може да смени паролата на непознат акаунт, като вкара своя имейл адрес и паролата неотложно се изпраща на неговата пощенска кутия.
Както изяснява откривателя, този механизъм може да се употребява за промяна на паролата на непознати сметки. С помощта на основания от тях скрипт, Хелм е успял на всеки 30 секунди да сменя паролата на непознати сметки.
Другият проблем е в открития предел (от 10 опита) на броя на опитите за вход в акаунта. Според откривателя, нападателите, знаещи имейл-адреса на потребителя, могат да блокират профила му.
Хелм е съобщил на администрацията на Sarahah за откритите от него проблеми при започване на август тази година, само че разработчикът е реагирал на известията на откривателя едвам при започване на септември. В края на същия месец, компанията заяви, че огромните уязвимости към този момент са поправени, само че въпросът на Хелм е за кои тъкмо проблеми става въпрос, само че отговор не е получил.
Припомняме, че по-рано програмата Sarahah бе уличена в прекачване на данни от мобилните телефони на потребителите към сървъри на компанията-разработчик.
Sarahah – приложение, което разрешава на потребителите да изпращат мнения за други консуматори в цялостна анонимност.
Източник: kaldata.com
КОМЕНТАРИ