Sarahah
Isi kandungan:
Menurut apa yang boleh dibaca di halaman The Next Web, seorang penyelidik Britain telah melaporkan banyak kelemahan keselamatan dalam aplikasi Sarahah, yang menjadi kemarahan di kalangan remaja. Sarahah dalam bahasa Arab bermaksud kejujuran. Dan walaupun ramai yang menggunakan aplikasi itu untuk mengganggu atau mengamalkan buli, tujuan permohonan itu adalah sebaliknya: untuk memuji sesama kita. Masalah keselamatan yang mereka rujuk hanya terhad kepada versi desktop aplikasi Sarahah, menjadikan versi mudah alihnya percuma buat masa ini.
Banyak pepijat melanda versi web Sarahah
Scott Helme, seorang penyelidik, mendapati bahawa perlindungan virus CSRF di laman web Sarahah amat mudah dipecahkan. Virus CSRF adalah sangat berbahaya dan berbahaya, dapat mengawal akaun kami, menjalankan operasi yang tidak berkaitan dengan penggunaan kami. Penyerang, jelas Helme, boleh menggunakan akaun kami untuk menanda buku akaun tidak diketahui lain, untuk mendapat keuntungan dari segi kewangan.
Beliau juga menegaskan bahawa Ogos lalu seorang lagi penyelidik bernama Rony Das turut menemui lebih banyak lubang keselamatan. Secara khususnya, ia mendapati kerentanan XSS. Ringkasnya: penggodam boleh memasukkan kod hasad ke dalam HTML halaman Sarahah, yang boleh termasuk virus dan perisian pengintip.
Isu lain: Helme mengenal pasti ralat serius dalam pengepala keselamatan, yang menghalang penggunaan protokol keselamatan HSTS. Ini ialah alat yang semakin digunakan untuk melawan rampasan kuki dan kemungkinan serangan mengambil kesempatan daripada versi lama web. Tugas Helme ialah cuba mendapatkan Sarahah untuk melindungi penggunanya dengan betul. Seperti yang dinyatakan oleh web, pesaing hebatnya, Ask.fm, adalah tapak yang penuh dengan ralat dan kelemahan keselamatan. Jadi, apa yang lebih baik daripada Sarahah untuk belajar daripada kegagalan yang satu ini dan menjadi halaman web yang selamat.
Gangguan dan pembongkaran: bahaya Sarahah di web
Mengenai penapis keselamatan dan anti-gangguan, penyelidik juga mempunyai sesuatu untuk diperkatakan. Dia perasan bahawa, sebagai contoh, dalam ayat 'Saya akan membunuh untuk burger keju', aplikasi itu akan memadamkan siaran itu, kerana ia menemui perkataan negatif, 'Bunuh'.Walau bagaimanapun, jika koma diletakkan selepas 'Akan membunuh', aplikasi akan mengabaikannya. Ya, ia tidak betul dari segi tatabahasa, tetapi mesej itu akan diterima.
Dan banyak lagi kegagalan: Halaman Sarahah tidak mempunyai had pada kelajuan penggunanya menulis komen, jadi sesiapa sahaja boleh mengalami serangan gangguan, dengan baris skrip yang ringkas. Sarahah juga tidak mempunyai sebarang fungsi pemadaman besar-besaran, jadi jika kita mangsa serangan komen, kita mesti memadamkannya satu persatu.
Selain itu, untuk menetapkan semula kata laluan dalam Sarahah, tapak web hanya meminta pengguna untuk alamat e-mel yang dikaitkan dengan akaun tersebut. Setelah diminta, sistem menjana yang baharu dan menghantarnya secara automatik kepada pengguna. Dalam pengertian ini, penggodam boleh menukar baris skrip supaya kata laluan akan berubah setiap saat, dan dengan itu mustahil untuk pemilik akaun mengaksesnya.Skrip yang sama ini juga boleh digunakan untuk membuat akses kepada akaun tidak berjaya, walaupun kata laluan itu sah. Sarahah mengunci semua akaun pengguna yang mempunyai lebih daripada 10 percubaan log masuk.
Penyelidik kemudian menghubungi Sarahah untuk memaklumkan semua ini kecerobohan pelanggaran keselamatan dalam versi webnya. Siasatan yang telah mengambil masa berbulan-bulan lamanya dan akhirnya boleh menjadikan aplikasi Sarahah sebagai komuniti yang bebas daripada gangguan dan serangan siber yang dirancang.
