Анонимный мессенджер Sarahah подвержен ряду уязвимостей

Tihon74
Оффлайн

Tihon74

Заблокирован
Регистрация
25.06.17
Сообщения
2.588
Реакции
71
Репутация
157
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.



В приложении присутствует защита от CSRF-атак, но ее довольно просто обойти.

Web-версия популярного мобильного мессенджера для анонимных отзывов Sarahah, возглавившего рейтинги AppStore и Google Play Store, подвержена множественным уязвимостям, в том числе позволяющим осуществить XXS- и CSRF-атаки, утверждает исследователь Скотт Хелме (Scott Helme).

Приложение Sarahah (в переводе с арабского «искренность») позволяет пользователям получать анонимный отзыв, причем ответить на такие послания они не могут, лишь настроить фильтры, к примеру, чтобы отфильтровывать самые очевидные оскорбления.

По словам Хелме, в приложении присутствует защита от CSRF-атак, но ее довольно просто обойти. В числе других обнаруженных экспертом проблем: наличие лишь рудиментарной системы фильтрации, отсутствие ограничения на количество отправленных сообщений одному пользователю (всего за несколько секунд специалист смог отправить несколько сотен сообщений на тестовый аккаунт) и ненадежная процедура сброса пароля.

Пользователь может сбросить пароль к учетной записи, указав адрес электронной почты, новый пароль мгновенно отправляется на его почтовый ящик. Как поясняет исследователь, данный механизм может эксплуатироваться для смены пароля к чужим аккаунтам. С помощью созданного им скрипта Хелме смог каждые 30 секунд менять пароль чужой учетной записи. Еще одна проблема заключается в установленном лимите (10 попыток) на число попыток авторизации в учетной записи. По словам исследователя, злоумышленник, знающий электронный адрес пользователя, может заблокировать его учетную запись.

Хелме сообщил администрации Sarahah о выявленных им проблемах в начале августа нынешнего года, однако разработчик отреагировал на сообщения исследователя только в начале сентября. В конце того же месяца компания сообщила, что большинство уязвимостей уже исправлено, однако вопрос Хелме о каких именно проблемах идет речь, оставила без ответа.

Напомним, ранее утилита Sarahah была уличена в передаче данных с мобильных телефонов пользователей на серверы компании-разработчика.

Sarahah - приложение, позволяющее пользователям отправлять отзывы о других пользователях в условиях полной анонимности.
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу