最近、私は面白いサービスを見つけました-それはあなたがその上の異なるサイトからあなたのパスワードを残して、必要に応じて、必要に応じて1つのインターフェースから一度にこれらすべてのサイトにそれを投稿することを可能にしました
私はこれを自分で使用せず、そのようなサイトがなぜ必要なのか理解していませんが、これらのサイトのユーザーパスワードがどれだけ保護されているのか疑問に思いました。
サービスを登ると、XSS脆弱性のある穴がいくつか見つかりました。 しかし、どのサイトには存在しませんか? ハブラーはまだ閉じられていませんでした(ハブラーは他の人のパスワードを保存していませんが、彼には許されません)。
ユーザーのパスワードと、このサービスに関する彼の情報の変更は、彼のCookieだけで可能であることがわかったとき、私はさらに驚きました。 重要なデータを変更するときにパスワードを入力する要件は言うまでもなく、IPを介したセッションを制限するような単純なことはありません。 そして、それはすでに絶対に許せないものであり、たとえハブであっても、そのような安全性に対する軽視はありません。
しかし、これは面白いものではありません。 偶然にも、プロファイル内のメールを変更すると、システムは暗号化されていないユーザーパスワードを新しいメールに送信します。 これは方法ではありません。 暗号化されていないユーザーのパスワードを保存できないだけでなく、誰にでもメールで平文で送信できます...
このすべてが私にとって非常に面白くなったので、ハッカーがこのサイトで何を達成できるかを調べることにしましたか?
小さなスクリプトを作成し、少しの心理学を適用して(このスクリプトが存在する私のプロファイルにユーザーを誘導するために)、サービスの約400ユーザーのオープンパスワードを受け取りました。 80人以上の人々が複数のサイトで(そして時にはメールで)同じパスワードを使用しており、ユーザーが登録されているサイトのリストは彼のプロファイル(これがそのサービスの主な「機能」です)問題)、それは攻撃者にとってただの楽園であることが判明しました。
JSにかなりのコードを書いたので、ユーザーのパスワードにアクセスし、他のブログに投稿することができます(サービスでこの「機能」を設定した場合)。ユーザーが成功(または不注意)であれば、他のサイトのアカウントにアクセスできます
この素晴らしいサービスとは何ですか?
これらはbestpersons.ruであり、そのプログラマーはJaikuで見つかったXSSについて誇らしげに書いています! UPD:もう誇りに思っていない:(
「サイトを結合する」サービスを使用する人に幸運を。
PS また、OpenIDも提供しています;)
物語の続き
全員のためのパスワード保存および配布サービス
All Articles