Sarahah
İçindekiler:
The Next Web sayfasından okunabilen bilgilere göre, bir İngiliz araştırmacı, gençler arasında çok popüler olan Sarahah uygulamasında çok sayıda güvenlik açığı bildirdi. Sarahah, Arapça'da dürüstlük anlamına gelir. Birçoğu uygulamayı taciz etmek veya zorbalık yapmak için kullansa da, uygulamanın amacı tam tersidir: hemcinslerimizi övmek. Bahsettikleri güvenlik sorunları, yalnızca Sarahah uygulamasının masaüstü sürümüyle sınırlı olup, mobil sürümünü şimdilik ücretsiz bırakmaktadır.
Sarahah'ın web sürümünde çok sayıda hata var
Bir araştırmacı olan Scott Helme, Sarahah'ın web sitesindeki CSRF virüs korumasının kırılmasının son derece kolay olduğunu keşfetti. CSRF virüsü son derece zararlı ve tehlikelidir, hesabımızın kontrolünü ele geçirebilir, kullanımımızla ilgili olmayan işlemler gerçekleştirebilir. Helme, bir saldırganın mali açıdan kar elde etmek için diğer bilinmeyen hesaplara yer işareti koymak için hesabımızı kullanabileceğini açıklıyor.
Ayrıca geçen Ağustos ayında Rony Das adlı başka bir araştırmacının da daha fazla güvenlik açığı keşfettiğine dikkat çekiyor. Spesifik olarak, bir XSS güvenlik açığı buldu. Kısaca: Bir bilgisayar korsanı, Sarahah'ın sayfasının HTML'sine virüsler ve casus yazılımlar içerebilecek kötü amaçlı kod ekleyebilir.
Diğer sorunlar: Helme, güvenlik başlığında bir HSTS güvenlik protokolünün kullanılmasını engelleyen ciddi hatalar belirledi. Bu, çerezlerin ele geçirilmesine ve web'in eski sürümlerinden yararlanan bir saldırı olasılığına karşı savaşmak için giderek daha fazla kullanılan bir araçtır. Helme'nin görevi, Sarahah'ın kullanıcılarını gerektiği gibi korumasını sağlamaktır. Web'in belirttiği gibi, büyük rakibi Ask.fm, hatalarla ve güvenlik açıklarıyla dolu bir sitedir. Öyleyse, bunun başarısızlıklarından ders çıkarmak ve güvenli bir web sayfası olmak için Sarahah'tan daha iyi ne olabilir?
Taciz ve parçalama: Web'de Sarahah tehlikesi
Güvenlik ve taciz önleme filtresiyle ilgili olarak araştırmacının da söyleyecekleri var. Örneğin, 'Bir çizburger için öldürürdüm' cümlesinde, uygulamanın 'Öldür' gibi olumsuz bir kelime bulduğu için gönderiyi sileceğini fark etti.Ancak, 'Öldürür'den sonra bir virgül konursa, uygulama bunu yok sayar. Evet, dilbilgisi açısından doğru değil ama mesaj yine de ulaşacak.
Ve daha fazla başarısızlık: Sarahah'ın sayfasında, kullanıcılarının yorum yazma hızında sınır yoktur, bu nedenle herkes basit bir komut satırıyla taciz bombardımanına maruz kalabilir. Sarahah ayrıca herhangi bir toplu silme işlevine sahip değildir, bu nedenle bir yorum bombardımanının kurbanlarıysak, onları birer birer silmeliyiz.
Ayrıca, Sarahah'ta şifreyi sıfırlamak için web sitesi kullanıcıdan yalnızca hesapla ilişkili e-posta adresini ister. İstendiğinde sistem yeni bir tane oluşturur ve otomatik olarak kullanıcıya gönderir. Bu anlamda bir bilgisayar korsanı, şifrenin her an değişmesi için bir komut satırı değiştirebilir ve bu nedenle hesap sahibinin bu hesaba erişmesi imkansız hale gelebilir.Aynı komut dosyası, parola geçerli olsa bile hesaba erişimi başarısız kılmak için de kullanılabilir. Sarahah 10'dan fazla giriş denemesi olan tüm kullanıcı hesaplarını kilitler.
Araştırmacı daha sonra, Sarahah'ı web sürümündeki tüm bu güvenlik ihlallerinden oluşan çığ hakkında bilgilendirmek için temasa geçti. Aylarca zamanını alan ve sonunda Sarahah uygulamasını tacizden ve kasıtlı siber saldırılardan arınmış bir topluluk haline getirebilen bir soruşturma.
