사라
차례:
The Next Web 페이지에서 읽을 수 있는 내용에 따르면 영국 연구원이 십대들 사이에서 유행하는 Sarahah 애플리케이션의 수많은 보안 결함을 보고했습니다. 사라라는 아랍어로 정직을 의미합니다. 그리고 많은 사람들이 괴롭히거나 괴롭힘을 행하기 위해 이 응용 프로그램을 사용하고 있지만 이 응용 프로그램의 목적은 정반대입니다. 즉 동료 남성을 칭찬하는 것입니다. 그들이 언급하는 보안 문제는 Sarahah 애플리케이션의 데스크톱 버전에만 국한되며 모바일 버전은 당분간 무료입니다.
많은 버그가 Sarahah의 웹 버전을 괴롭히고 있습니다.
연구원인 Scott Helme는 Sarahah 웹사이트의 CSRF 바이러스 보호 기능이 매우 쉽게 깨질 수 있음을 발견했습니다. CSRF 바이러스는 엄청나게 해롭고 위험하며 우리 계정을 장악 우리의 사용과 관련 없는 작업을 수행할 수 있습니다. Helme는 공격자가 금전적 이익을 얻기 위해 우리 계정을 사용하여 다른 알 수 없는 계정을 북마크할 수 있다고 설명합니다.
그는 또한 지난 8월 Rony Das라는 다른 연구원도 더 많은 보안 허점을 발견했다고 지적합니다. 특히 XSS 취약점을 발견했습니다. 요컨대: 해커가 바이러스 및 스파이웨어를 포함할 수 있는 악성 코드를 Sarahah의 페이지 HTML에 삽입할 수 있습니다.
기타 문제: Helme는 보안 헤더에서 HSTS 보안 프로토콜의 사용을 방해하는 심각한 오류를 식별했습니다. 이 도구는 쿠키 하이재킹 및 이전 버전의 웹을 이용하는 공격 가능성에 맞서 싸우는 데 점점 더 많이 사용되는 도구입니다. Helme의 임무는 Sarahah가 사용자를 적절하게 보호하도록 하는 것입니다. 웹에서 알 수 있듯이 그 경쟁 상대인 Ask.fm은 오류와 보안 결함으로 가득 찬 사이트입니다. 따라서 이 실패로부터 배우고 안전한 웹 페이지가 되는 데 Sarahah보다 나은 것이 있을까요.
괴롭힘과 해체: 웹상에서 Sarahah의 위험
보안 및 괴롭힘 방지 필터에 대해 연구원도 할 말이 있습니다. 그는 예를 들어 'I would kill for a cheeseburger'라는 문장에서 애플리케이션이 부정적인 단어인 'Kill'을 발견하기 때문에 게시물을 삭제한다는 사실을 알아차렸습니다.그러나 'Would kill' 뒤에 쉼표가 있으면 응용 프로그램에서 이를 무시합니다. 예, 문법적으로 정확하지는 않지만 어쨌든 메시지가 전달됩니다.
더 많은 실패: Sarahah의 페이지는 사용자가 댓글을 작성하는 속도에 제한이 없으므로 누구나 간단한 스크립트 한 줄로 괴롭힘의 폭격을 당할 수 있습니다. Sarahah도 일괄삭제 기능이 없어서 댓글폭탄피해자라면 하나씩 삭제해야합니다.
또한 Sarahah에서 비밀번호를 재설정하기 위해 웹사이트는 사용자에게 계정과 연결된 이메일 주소만 묻습니다. 일단 요청하면 시스템은 새 것을 생성하여 자동으로 사용자에게 보냅니다. 이런 의미에서 해커는 암호가 시시각각 바뀌도록 한 줄의 스크립트를 변경할 수 있으므로 계정 소유자가 액세스할 수 없습니다.암호가 유효한 경우에도 동일한 스크립트를 사용하여 계정에 대한 액세스를 실패할 수 있습니다. Sarahah 모든 사용자 계정 잠금 로그인 시도 횟수가 10회 이상입니다.
이 연구원은 나중에 Sarahah에게 연락하여 그녀의 웹 버전에서 이 모든 보안 위반 을 알렸습니다. 조사에 몇 달이 걸렸고 마침내 Sarahah 애플리케이션을 괴롭힘과 계획된 사이버 공격이 없는 커뮤니티로 만들 수 있었습니다.
