Ламер — пользователь, который регулярно наступает на грабли, но при этом уверен, что грабли не существуют. Какая-то энциклопедия Прошел день с тех пор, как я предпринял попытку убедить людей, что в Интернете нужно очень тщательно выбирать, кому доверять свои данные (звучит претенциозно, правда?) О том, что произошло и что из этого вышло, далее.Теги: #безопасность #дерьмо #ЧуланСайт bestpersons выбран, конечно, не случайно, но он просто идеален в качестве наглядного пособия о том, как не надо делать безопасные сайты.
О начале его издевательств можно прочитать здесь: Сервис для хранения паролей и раздачи их всем желающим .
Из-за туманных комментариев владельцев сайтов, которые не удосужились описать, что случилось с их сайтом, и даже не оповестили своих пользователей о том, что им нужно сделать (сменить все пароли, совпадающие с паролем на bestpersons, удалить свой аккаунт ;) ) Даже крупные интернет-издания не смогли понять, что произошло.
Ни один rian.ru , ни один Роем.
ру , ни один Лаборатория безопасности Реальную версию событий они не представили.
Итак, по порядку: 1. Я нахожу то, что описано в первая тема и я пытаюсь это использовать.
2. Поскольку я не особо скрытен, некоторые пользователи, чей пароль я получил, заметили, что у них в настройках изменился адрес электронной почты и сообщили об этом программистам сайта.
3. Сайт был отключен, когда мне удалось получить всего около 400 паролей.
4. Я написал пост на Хабре, потому что думал, что как только владельцы сайтов узнают об уязвимостях, они их закроют. 5. Сайт включен.
6. Я увидел, что уязвимость никто не исправил и написал об этом комментарий.
7. Сайт отключили, меня попросили рассказать где именно были ошибки на сайте о_О 8. Я сказал: в таких-то полях вы не фильтруете html, кроме того, вы вообще не фильтруете GET-запросы и через них можно делать что угодно.
Они поблагодарили меня и сказали, что исправят это.
9. Сайт включился, написаны обнадеживающие новости - пользователям ничего не угрожает О_о.
// То, что у меня есть 400 паролей, которые еще подходят для ящиков и аккаунтов пользователей (проверил из любопытства) им, пользователям, знать не обязательно .
10. Вечером перед сном решил еще раз зайти на сайт посмотреть, как там с уязвимостями.
Я обнаружил, что ничего не изменилось в лучшую сторону — поправили XSS в некоторых (не во всех) полях, но через GET-запросы все равно можно делать что угодно.
В частности, удалять сообщения других пользователей и размещать сообщения в их блогах на других сайтах.
11. Написал простой скрипт, который публикует сообщения во все блоги, пароли которых оставили пользователи на bestpersons. Запустил.
12. В середине работы сервера зависли бесты (некоторые их скрипты зависли).
Их перезагрузили и скриптер спокойно продолжил работу о_О 13. Во всем Рунете появились сообщения, содержание которых вам известно.
К настоящему времени большинство из них уже удалено (конечно, во всех блогах, владельцы которых их еще помнят).
14. Владельцы бестселлеров добавили к новости об уязвимости еще одну строчку: «От имени наших пользователей отправлялись странные сообщения, ничего страшного».
Ребята, с таким отношением к пользовательским данным Рунет никогда не станет похожим на западный Интернет :) Здесь многие высказывали следующий тезис: «Все совершают ошибки.
Они учатся на ошибках.
Теперь сайт стал еще надежнее».
Ошибка — это когда злоумышленник может изменить имя другого пользователя, украсть файлы cookie или выполнить неважное действие на сайте от имени другого пользователя.
То, что происходит с лучшими людьми, не является ошибкой.
Это полное непонимание основ безопасности сайтов ведущими программистами высоконагруженных и распределенных систем (вроде что-то перепутали?) Это невозможно :) Надеюсь, что сайты, которые так относятся к своим пользователям, в будущем будут подвергаться публичной порке, а написание кода «как лучшие люди» станет позором для веб-проектов, претендующих на серьёзность.
Спасибо за внимание.
з.
ы.
Не факт, что я первый нашел, как узнать пароли пользователей того сайта.
А поскольку это может быть сделано незаметно для пользователя (и уж тем более для администрации сайта), стоит сообщить своим друзьям, у которых есть аккаунт на Bestpersons, что их пароли могут больше не принадлежать им.
И если ими еще никто не воспользовался, это не значит, что ими не воспользуются.
-
Контекстная Реклама Через Блоггинг
19 Oct, 24 -
Человеческий Фактор
19 Oct, 24 -
Идеи Моддинга
19 Oct, 24 -
Расширенный Whois
19 Oct, 24
