Lamerは、レーキを定期的に踏むユーザーですが、まだレーキが存在しないと確信しています。
ある種の百科事典
ネットワーク上で、データを信頼する人を慎重に選択する必要があることを人々に納得させようとしてから1日が経ちました(哀れな音ですよね?)
次に、何が起こったのか、何が起こったのかについて。
もちろん、ベストパーソンサイトは偶然に選ばれたわけではありませんが、セキュリティで保護されたサイトを作成する必要がないという視覚的な補助として最適です。 彼のいじめの始まりについては、ここで読むことができます。 パスワードを保存し、全員に配布するサービス 。
サイト所有者のあいまいなコメントのため、サイトに何が起こったのかわからず、ユーザーに何をする必要があるかさえ通知しませんでした(パスワードに一致するすべてのパスワードをベストパーソンに変更し、アカウントを削除します;))主要なオンライン出版物でさえ、何が起こったのか理解できませんでした。 rian.ruもRoem.ruもSecuritylabも、実際のバージョンのイベントを提供していません。
だから、順番に:
1. 最初のトピックで説明されているものを見つけて、使用してみます。
2.特に非表示ではないため、パスワードを受け取った一部のユーザーは、設定でメール設定が変更されていることに気付き、サイトプログラマーに通知しました。
3.約400個のパスワードしか取得できなかったときに、サイトはダウンしていました。
4. Habrに投稿しました。サイトの所有者が脆弱性を知ったので、それらを閉じると思ったからです。
5.サイトが含まれます。
6.私は誰も脆弱性を支配せず、それについてコメントを書いているのを見ました。
7.サイトはオフになりました。o_Oウェブサイトのどこにエラーがあるのか正確に言うように頼まれました
8.私は言った:htmlはそのようなフィールドやそのようなフィールドではフィルタリングされません。さらに、GETリクエストはまったくフィルタリングされず、それらを通して何でもできます。 ありがとう、彼らはそれを修正すると言った。
9.サイトをオンにし、心強いニュースを書きました-ユーザーO_oを脅かすものは何もありません。 // メールボックスとユーザーアカウント(好奇心のためにチェック)に適用される400個のパスワードがあり、それらはユーザーである必要はありません 。
10.寝る前の夕方、私は再びサイトに行くことに決めました-それがどのように脆弱性であるかを見るために。 改善されたものは何もありませんでした-一部の(すべてではない)フィールドのXSSを修正しましたが、GETリクエストを使用すると、何でもできます。 特に、他のユーザーの投稿を削除し、他のサイトのブログに投稿します。
11.ユーザーがベストパーソンのパスワードを残したすべてのブログに書き込む簡単なスクリプトを書きました。 起動しました。
12.サーバーの操作の途中で、ベストパーソンがハングしました(一部のスクリプトがハングしました)。 それらはリロードされ、スクリプトは落ち着いて動作し続けましたo_O
13.メッセージはインターネットのいたるところに出現しており、その内容はご存知のとおりです。 現在までに、それらのほとんどは既に削除されています(所有者がまだそれらを覚えているすべてのブログで)。
14.ベストパーソンの所有者は、脆弱性のニュースに別の行を追加しました:「ユーザーに代わって奇妙なメッセージが送信された、それでいい」。
ユーザーデータに対するこのような態度で、RuNetは西洋のインターネットのようには決して見えません。
ここでは、多くの人がこのコンテンツの論文を発表しました。 間違いから学ぶ。 サイトの信頼性がさらに向上しました。」
間違いは、攻撃者が別のユーザーの名前を変更したり、Cookieを盗んだり、別のユーザーに代わってサイトであまり重要ではないアクションを実行したりすることです。
ベストパーソンで起こることは間違いではありません。 これは、負荷が高く分散されたシステムの主要なプログラマーの紳士によるサイトセキュリティの基本事項の完全な誤解です(混乱しませんでしたか?)
できません:)
将来的にユーザーに関連するサイトが、「ベストパーソンのような」コードを公開して公開することは、深刻だと主張するWebプロジェクトにとって恥ずかしいものになることを願っています。
ご清聴ありがとうございました。
PS そのサイトのユーザーのパスワードを取得する方法を最初に見つけたという事実ではありません。 また、これはユーザーが気付かないうちに(そしてもちろんサイト管理者によって)行われる可能性があるため、パスワードがもはや自分のものではない可能性のあるベストパーソンのアカウントを持っている友人に渡す価値があります。 そして、誰もまだそれらを使用していない場合、これは彼がそれを使用しないという意味ではありません。