サラア
目次:
The Next Web ページで読めるものによると、英国の研究者が、10 代の若者の間で大流行している Sarahah アプリケーションに多数のセキュリティ上の欠陥があることを報告しています。サラハはアラビア語で正直を意味します。そして、多くの人が嫌がらせやいじめの練習にアプリケーションを使用していますが、アプリケーションの目的は正反対です: 仲間の男性を褒めること.彼らが言及しているセキュリティ問題は、Sarahah アプリケーションのデスクトップ バージョンにのみ限定されており、モバイル バージョンは当面無料のままです。
Sarahah の Web バージョンには多くのバグがあります
研究者の Scott Helme 氏は、Sarahah の Web サイトの CSRF ウイルス保護が非常に簡単に破られることを発見しました。 CSRFウイルスは非常に有害で危険であり、私たちのアカウントを乗っ取り、私たちの使用とは関係のない操作を実行できます。 Helme 氏によると、攻撃者は私たちのアカウントを使用して他の不明なアカウントをブックマークし、金銭的な利益を得る可能性があります。
彼はまた、昨年 8 月に Rony Das という名前の別の研究者がさらに多くのセキュリティ ホールを発見したことも指摘しています。具体的には、XSS の脆弱性を発見しました。 簡単に言えば、ハッカーは、ウイルスやスパイウェアを含む悪意のあるコードを Sarahah のページの HTML に挿入する可能性があります。
その他の問題: Helme は、HSTS セキュリティ プロトコルの使用を妨げる重大なエラーをセキュリティ ヘッダーで特定しました。これは、 Cookie のハイジャック や、古いバージョンの Web を利用した攻撃の可能性に対抗するためにますます使用されるツールです。 Helme の仕事は、Sarahah にユーザーを適切に保護させることです。 Web が述べているように、その強力な競争相手である Ask.fm は、エラーとセキュリティ上の欠陥に満ちたサイトです。したがって、この失敗から学び、安全な Web ページになることは、Sarahah に勝るものはありません。
ハラスメントと取り壊し: ウェブ上のサラハの危険性
セキュリティと嫌がらせ防止フィルターに関して、研究者も言いたいことがあります。彼は、たとえば、「I would kill for a Cheeseburger」という文で、アプリケーションが否定的な単語「Kill」を検出したため、投稿を削除することに気付きました。ただし、'Would kill' の後にコンマが配置されている場合、アプリケーションはそれを無視します。はい、文法的に正しくありませんが、とにかくメッセージは通じます。
さらに多くの失敗: Sarahah のページには、ユーザーがコメントを書く速度に制限がないため、簡単なスクリプト行で、誰もが嫌がらせの攻撃を受ける可能性があります。 Sarahah には一括削除機能もありませんので、コメント攻撃の被害者である場合は、1 つずつ削除する必要があります。
さらに、Sarahah でパスワードをリセットするには、ウェブサイトはユーザーにアカウントに関連付けられた電子メール アドレスのみを要求します。要求されると、システムは新しいものを生成し、ユーザーに自動的に送信します。この意味で、ハッカーはスクリプトの行を変更して、パスワードが刻一刻と変更されるようにすることができ、その結果、アカウントの所有者がパスワードにアクセスできなくなります。この同じスクリプトを使用して、パスワードが有効であっても、アカウントへのアクセスを失敗させることもできます。 Sarahah すべてのユーザー アカウントをロックします 10 回以上ログインを試みました。
