Sarahah

Ayon sa mababasa sa The Next Web page, isang British researcher ang nag-ulat ng maraming mga bahid sa seguridad sa Sarahah application, na pinaka-kinakabahan sa mga teenager. Ang Sarahah, sa Arabic, ay nangangahulugang katapatan. At bagama't marami ang gumagamit ng application para manggulo o magsanay ng pananakot, ang layunin ng aplikasyon ay eksaktong kabaligtaran: upang purihin ang ating kapwa lalaki. Ang mga problema sa seguridad na kanilang tinutukoy ay eksklusibo lamang sa desktop na bersyon ng Sarahah application, na iniiwan ang mobile na bersyon nito na libre sa sandaling ito.

Maraming mga bug ang sumasalot sa web version ng Sarahah

Scott Helme, isang mananaliksik, ay natagpuan na ang proteksyon ng virus ng CSRF sa website ni Sarahah ay napakadaling masira. Ang CSRF virus ay lubhang nakakapinsala at mapanganib, na makontrol ang aming account, nagsasagawa ng mga operasyon na walang kaugnayan sa aming paggamit. Ang isang attacker, paliwanag ni Helme, ay maaaring gumamit ng aming account upang i-bookmark ang iba pang hindi kilalang account, upang kumita sa pananalapi.

Ipinunto din niya na noong nakaraang Agosto, natuklasan din ng isa pang mananaliksik na nagngangalang Rony Das ang higit pang mga butas sa seguridad. Sa partikular, nakakita ito ng XSS na kahinaan. Sa madaling salita: maaaring magpasok ng malisyosong code ang isang hacker sa HTML ng page ni Sarahah, na maaaring magsama ng mga virus at spyware.

Iba pang mga isyu: Natukoy ni Helme ang mga seryosong error sa header ng seguridad, na pumipigil sa paggamit ng isang HSTS security protocol. Isa itong tool na lalong ginagamit upang labanan ang pag-hijack ng cookies at ang posibilidad ng pag-atake na sinasamantala ang mga lumang bersyon ng web. Ang trabaho ni Helme ay subukang makuha ni Sarahah na protektahan ng maayos ang mga gumagamit nito. Gaya ng sinasabi ng web, ang mahusay na katunggali nito, ang Ask.fm, ay isang site na puno ng mga error at bahid sa seguridad. Kaya, ano ang mas mahusay kaysa kay Sarahah na matuto mula sa mga kabiguan ng isang ito at maging isang ligtas na web page.

Pangliligalig at teardown: ang panganib ng Sarahah sa web

Tungkol sa panseguridad at anti-harassment, may sasabihin din ang mananaliksik. Napansin niya na, halimbawa, sa pangungusap na 'I would kill for a cheeseburger', tatanggalin ng application ang post, dahil nakahanap ito ng negatibong salita, 'Kill'.Gayunpaman, kung inilagay ang kuwit pagkatapos ng 'Would kill', babalewalain ito ng application. Oo, hindi ito tama sa gramatika, ngunit makakamit pa rin ang mensahe.

At higit pang mga kabiguan: Ang page ni Sarahah ay walang limitasyon sa bilis ng pagsusulat ng mga user nito ng mga komento, kaya kahit sino ay maaaring makaranas ng pambobomba ng panliligalig, na may simpleng linya ng script. Wala ring mass delete function si Sarahah, kaya kung biktima tayo ng comment bombardment, dapat isa-isa nating tanggalin.

Sa karagdagan, upang i-reset ang password sa Sarahah, hinihiling lamang ng website sa user ang email address na nauugnay sa account. Kapag hiniling, bubuo ang system ng bago at awtomatikong ipapadala ito sa user. Sa ganitong kahulugan, maaaring baguhin ng isang hacker ang isang linya ng script upang magbago ang password sa bawat sandali, at sa gayon ay magiging imposible para sa may-ari ng account na ma-access ito.Ang parehong script na ito ay maaari ding gamitin upang gawing hindi matagumpay ang pag-access sa account, kahit na wasto ang password. Sarahah ni-lock ang lahat ng user account na mayroong higit sa 10 pagsubok sa pag-log in.

Nakipag-ugnayan ang mananaliksik kay Sarahah sa kalaunan upang ipaalam sa kanya ang lahat ng ito avalanche ng mga paglabag sa seguridad sa kanyang web version. Isang pagsisiyasat na inabot ng ilang buwan ng kanyang oras at sa wakas ay maaaring gawing komunidad ang Sarahah application na walang panliligalig at pinag-isipang cyberattacks.