சரஹா

The Next Web page இல் படிக்கக்கூடியவற்றின் படி, ஒரு பிரிட்டிஷ் ஆராய்ச்சியாளர் Sarahah பயன்பாட்டில் ஏராளமான பாதுகாப்பு குறைபாடுகளைப் புகாரளித்துள்ளார், இது இளைஞர்களிடையே கோபமாக உள்ளது. அரபு மொழியில் சரஹா என்றால் நேர்மை என்று பொருள். மேலும் பலர் இந்த செயலியை துன்புறுத்துவதற்கு அல்லது பயமுறுத்துவதைப் பயன்படுத்தினாலும், பயன்பாட்டின் நோக்கம் இதற்கு நேர்மாறானது: நமது சக மனிதர்களைப் பாராட்டுவது. அவர்கள் குறிப்பிடும் பாதுகாப்புச் சிக்கல்கள், Sarahah பயன்பாட்டின் டெஸ்க்டாப் பதிப்பில் மட்டுமே உள்ளது, அதன் மொபைல் பதிப்பை தற்போதைக்கு இலவசமாக்குகிறது.

சராஹாவின் வலை பதிப்பில் நிறைய பிழைகள் தாக்குகின்றன

Scott Helme, ஒரு ஆராய்ச்சியாளர், Sarahah இணையதளத்தில் CSRF வைரஸ் பாதுகாப்பு உடைக்க மிகவும் எளிதானது என்று கண்டறிந்தார். CSRF வைரஸ் மிகவும் தீங்கு விளைவிக்கும் மற்றும் ஆபத்தானது, இது எங்கள் கணக்கின் கட்டுப்பாட்டை எடுத்துக்கொள்வது, நமது பயன்பாட்டுடன் தொடர்பில்லாத செயல்பாடுகளை மேற்கொள்ளும். தாக்குபவர், ஹெல்ம் விளக்குகிறார், நிதி ரீதியாக லாபம் ஈட்டுவதற்காக, அறியப்படாத பிற கணக்குகளை புக்மார்க் செய்ய எங்கள் கணக்கைப் பயன்படுத்தலாம்.

கடந்த ஆகஸ்ட் மாதம் ரோனி தாஸ் என்ற மற்றொரு ஆய்வாளரும் கூடுதலான பாதுகாப்பு ஓட்டைகளைக் கண்டுபிடித்ததையும் அவர் சுட்டிக்காட்டுகிறார். குறிப்பாக, இது ஒரு XSS பாதிப்பைக் கண்டறிந்தது. சுருக்கமாக: ஒரு ஹேக்கர் தீங்கிழைக்கும் குறியீட்டை Sarahah பக்கத்தின் HTML இல் செருகலாம், அதில் வைரஸ்கள் மற்றும் ஸ்பைவேர் அடங்கும்.

பிற சிக்கல்கள்: ஹெல்ம் பாதுகாப்பு தலைப்பில் கடுமையான பிழைகளை அடையாளம் கண்டுள்ளார், இது HSTS பாதுகாப்பு நெறிமுறையைப் பயன்படுத்துவதைத் தடுக்கிறது. குக்கீகளை கடத்தல் மற்றும் இணையத்தின் பழைய பதிப்புகளைப் பயன்படுத்தி தாக்குதல் நடத்துவதற்கான சாத்தியக்கூறுகளுக்கு எதிராகப் போராடுவதற்கு இது அதிகளவில் பயன்படுத்தப்படும் ஒரு கருவியாகும். ஹெல்மின் வேலை சரஹாவை அதன் பயனர்களை சரியாகப் பாதுகாக்க முயற்சிப்பதாகும். இணையம் கூறுவது போல், அதன் சிறந்த போட்டியாளரான Ask.fm, பிழைகள் மற்றும் பாதுகாப்பு குறைபாடுகள் நிறைந்த தளமாகும். எனவே, இதன் தோல்விகளில் இருந்து பாடம் கற்றுக்கொண்டு பாதுகாப்பான வலைப்பக்கமாக மாற சரஹாவை விட சிறந்தது என்ன.

துன்புறுத்தல் மற்றும் கிழித்தல்: வலையில் சரஹாவின் ஆபத்து

பாதுகாப்பு மற்றும் துன்புறுத்தல் எதிர்ப்பு வடிகட்டி குறித்து, ஆய்வாளரும் சிலவற்றைச் சொல்ல வேண்டும். உதாரணமாக, 'I would kill for a cheeseburger' என்ற வாக்கியத்தில், 'கில்' என்ற எதிர்மறை வார்த்தையைக் கண்டறிவதால், விண்ணப்பம் இடுகையை நீக்கிவிடும் என்பதை அவர் கவனித்துள்ளார்.இருப்பினும், 'வுட் கில்' என்பதற்குப் பிறகு காற்புள்ளி வைக்கப்பட்டால், பயன்பாடு அதைப் புறக்கணிக்கும். ஆம், இது இலக்கணப்படி சரியாக இல்லை, ஆனால் எப்படியும் செய்தி கிடைத்துவிடும்.

மேலும் தோல்விகள் Sarahah க்கு எந்த வெகுஜன நீக்கும் செயல்பாடும் இல்லை, எனவே நாம்

கமென்ட் குண்டுவெடிப்புக்கு பலியாக இருந்தால், அவற்றை ஒவ்வொன்றாக நீக்க வேண்டும்.

கூடுதலாக, சரஹாவில் கடவுச்சொல்லை மீட்டமைக்க, இணையதளம் பயனரிடம் கணக்குடன் தொடர்புடைய மின்னஞ்சல் முகவரியை மட்டுமே கேட்கிறது. கோரியவுடன், கணினி புதிய ஒன்றை உருவாக்கி, பயனருக்கு தானாகவே அனுப்பும். இந்த அர்த்தத்தில், ஒரு ஹேக்கர் ஸ்கிரிப்ட்டின் வரியை மாற்றலாம், இதனால் கடவுச்சொல் ஒவ்வொரு கணமும் மாறும், இதனால் கணக்கின் உரிமையாளரால் அதை அணுக முடியாது.கடவுச்சொல் சரியானதாக இருந்தாலும், கணக்கிற்கான அணுகலை தோல்வியடையச் செய்ய இதே ஸ்கிரிப்ட் பயன்படுத்தப்படலாம். Sarahah 10 க்கும் மேற்பட்ட உள்நுழைவு முயற்சிகளைக் கொண்ட அனைத்து பயனர் கணக்குகளையும் பூட்டுகிறது.

ஆராய்ச்சியாளர் பின்னர் சாரஹாவைத் தொடர்புகொண்டு இதையெல்லாம் பாதுகாப்பு மீறல்களின் பனிச்சரிவுஅவரது வலைப் பதிப்பில் தெரிவித்தார். அவரது நேரத்தின் பல மாதங்கள் எடுத்துக்கொண்ட ஒரு விசாரணை, இறுதியாக சரஹா பயன்பாட்டை துன்புறுத்தல் மற்றும் திட்டமிட்ட இணையத் தாக்குதல்கள் இல்லாத சமூகமாக மாற்ற முடியும்.