研究者称为Surbo发现各种各样的有趣的方式篡改避开消息我们都收到。
我们都让他们不时:邀请参加聚会或其他事件,抵达一个避开消息的形式。人点击它们,而使用机器在工作时间工作。在某些情况下,企业通信公司事件员工使用它们。
问题是:回避平台是令人震惊的弱从安全的角度来看。
在研究者称为Surbo证明事实演讲在ShmooCon上周末在称为“一个从Surbo回避吗?可能邀请麻烦。”
避开可以说是数一数二的邀请和社会规划网站今天在使用。它有超过2200万的注册用户和超过25000每小时发送邀请函,根据网站。这也是免费的,这意味着需求高。Surbo后决定看看引擎盖下面一个朋友送他一个避开消息在2006年的某个时间。
避开“我没有听到,所以我开始探索1.0版本,“Surbo在接受采访时表示。他要求他的真实姓名和公司保持匿名,因为组织公关与媒体沟通规则。“我很快就知道了,我有能力成为主机和发表评论。我也可以发表评论。”
知道2.0版本的作品,Surbo保留最终判决,直到他可以看到最新版本。不幸的是,他说,2.0版本是更糟。
“与今天的2.0版本之前,我可以做我所做的,但是现在我不需要知道你的名字或电子邮件地址,”他说。“现在你只需要ID。这是一个万能钥匙每个邀请。”
他继续说:“如果我被邀请,我打开它并检查代码,我可以搜索ID,看到每个人都邀请,进入他们的账户,我可以说这是或不是。”
结束时,他的分析,Surbo编译以下清单的问题:
- 他可以模仿人
- 他可以控制发生的邀请。“如果你发表声明,天空是蓝色的,我可以删除评论,”他说。
- 他可以发送一个命令来删除一个消息从别人。
- 他可以在客人名单和邮件任何人离开宿主。“我可以假装主机和说,这是一个化妆舞会。有服装,”他说。“你需要使用一个经过验证的饼干,但你不必使用主机认证cookie。和饼干不到期。我可以一遍又一遍地使用它们。”
- 他可以删除客人。“如果我不与人相处我可以删除它们从政党名单。”
- 他可以看到用户信息。“如果我有你的电子邮件我可以深入你的API和得到所有个人信息”——出生日期等。
有两种回避:公共和私人,Surbo说。私人邀请——对一个公司的圣诞晚会,例如——他可以进入个人邀请副本和转储整个宾客名单。他可以发表评论作为东道主,如果用户登录可以看到。他可以攻击主机和接管他们的邀请。
Surbo发现跨站脚本漏洞避开网站上已经存在好多年了。这些缺陷,让他删除主机以及客户。
“我可以发送你另一个电子邮件使用一个经过验证的饼干,”他说。“我能说这是回避,我需要你点击下面的链接来解决这个问题。我可以让它看起来非常正式,避开图形,然后你点击什么可能是一个恶意链接。”
他一直在接触回避过去,当他们在他们的网站上虚假广告软件,需要清理。他知道之前的电子邮件,告诉他们作为东道主,他可以做什么。他的第一个消息关于这些新发现的缺陷是6月24日,2010年。“他们立即回信。在这一点上,我知道他们正在2.0和不用力过猛,计算修复了。但是2.0是更糟糕的是,”他说。
他又联系了回避,发现他们欣赏。他们说他们会给他信用的问题。他给他们的细节。只有一个问题——伪造一个链接的缺陷是固定的。
“我在定期检查,问的东西是固定的,但从来没有反应后,”他说。“这是我接触他们。”
最后一个电话是几周前。他没有回应。
(CSOonline避开单独联系,但是没有收到一个响应的时间写作。如果未来的联系,本文将被更新。)
“很多人对我说,我很高兴我从未使用过(回避)。这不是问题,不过,”Surbo说。“即使你不使用它,如果你在一个列表,我可以访问你所有的信息和发送垃圾邮件或发送虚假信息。”
Surbo得出结论,没有安全的方式使用回避,直到他们让他联系了他们的改变。“他们需要看它们是如何验证代码,”他说。
礼貌地避开,他离开真正的人们可以使用链接目标API在他说话。
阅读更多关于数据保护CSOonline数据保护的部分。
这个故事,“回避程序容易篡改,研究员说:“最初发表的方案 。