莎拉哈
目录:
根据The Next Web 页面上的内容,一位英国研究人员报告了在青少年中风靡一时的Sarahah 应用程序中的许多安全漏洞。 Sarahah,在阿拉伯语中,意思是诚实。尽管许多人使用该应用程序进行骚扰或欺凌,但该应用程序的目的恰恰相反:赞美我们的同胞。他们提到的安全问题仅限于 Sarahah 应用程序的桌面版本,暂时让其移动版本免费。
许多错误困扰着Sarahah的网络版本
研究员Scott Helme发现Sarahah网站上的CSRF病毒防护极易攻破。 CSRF病毒具有极大的危害性和危险性,能够控制我们的账户,进行与我们使用无关的操作。 Helme 解释说,攻击者可以使用我们的帐户为其他未知帐户添加书签,以便从中获利。
他还指出,去年8月,另一位名叫Rony Das的研究人员也发现了更多的安全漏洞。具体来说,它发现了一个XSS漏洞。简而言之:黑客可以在Sarahah页面的HTML中插入恶意代码,其中可能包括病毒和间谍软件。
其他问题:Helme 发现安全标头中存在严重错误,这会阻止使用HSTS 安全协议。这是一种越来越多地用于对抗 cookie 劫持 以及利用旧版本网络进行攻击的可能性的工具。 Helme 的工作是设法让 Sarahah 妥善保护其用户。正如网络所说,它的主要竞争对手 Ask.fm 是一个充满错误和安全漏洞的网站。那么,还有什么比 Sarahah 更能从这个失败中吸取教训并成为一个安全的网页呢。
骚扰和拆解:网络上Sarahah的危险
关于安全和防骚扰过滤器,研究人员也有话要说。他注意到,例如,在“我愿意为芝士汉堡而杀人”这句话中,应用程序会删除该帖子,因为它发现了一个否定词“杀人”。但是,如果在“Would kill”之后放置一个逗号,应用程序将忽略它。是的,它在语法上是不正确的,但消息无论如何都会通过。
还有更多的失败:Sarahah的页面对用户写评论的速度没有限制,所以任何人都可以通过简单的一行脚本来遭受轰炸骚扰。 Sarahah也没有批量删除功能,所以如果我们是评论轰炸的受害者,我们必须一一删除。
此外,要在Sarahah中重设密码,该网站只要求用户提供与该帐户关联的电子邮件地址。一旦请求,系统会生成一个新的并自动将其发送给用户。从这个意义上说,黑客可以更改一行脚本,使密码每时每刻都在变化,从而使帐户所有者无法访问它。即使密码有效,也可以使用相同的脚本来使对帐户的访问失败。 Sarahah 锁定所有登录尝试次数超过10次的用户帐户。
研究人员后来联系了Sarahah,告知她所有这些安全漏洞的雪崩在她的网络版本中。一项耗时数月的调查,最终可以使 Sarahah 应用程序成为一个没有骚扰和有预谋的网络攻击的社区。
