ซาร่าห์

ตามที่สามารถอ่านได้ในหน้าถัดไป นักวิจัยชาวอังกฤษได้รายงานข้อบกพร่องด้านความปลอดภัยจำนวนมากในแอปพลิเคชัน Sarahah ซึ่งเป็นที่นิยมในหมู่วัยรุ่น Sarahah ในภาษาอาหรับ แปลว่า ความซื่อสัตย์ และแม้ว่าหลายคนใช้แอปพลิเคชันเพื่อก่อกวนหรือฝึกกลั่นแกล้ง แต่จุดประสงค์ของแอปพลิเคชันกลับตรงกันข้าม นั่นคือเพื่อชมเชยเพื่อนผู้ชายของเรา ปัญหาด้านความปลอดภัยที่พวกเขาอ้างถึงนั้นจำกัดเฉพาะแอปพลิเคชัน Sarahah เวอร์ชันเดสก์ท็อปเท่านั้น โดยปล่อยให้เวอร์ชันมือถือใช้งานได้ฟรีในขณะนี้

ข้อบกพร่องจำนวนมากรบกวน Sarahah เวอร์ชันเว็บ

Scott Helme นักวิจัยพบว่าการป้องกันไวรัส CSRF บนเว็บไซต์ของ Sarahah นั้นง่ายต่อการทำลาย ไวรัส CSRF เป็นอันตรายอย่างยิ่งและเป็นอันตราย โดยสามารถ เข้าควบคุมบัญชีของเรา ดำเนินการที่ไม่เกี่ยวข้องกับการใช้งานของเรา Helme อธิบายว่าผู้โจมตีสามารถใช้บัญชีของเราเพื่อบุ๊กมาร์กบัญชีที่ไม่รู้จักอื่นๆ เพื่อทำกำไรทางการเงิน

นอกจากนี้ เขายังชี้ให้เห็นว่าเมื่อเดือนสิงหาคมปีที่แล้ว นักวิจัยอีกคนชื่อ Rony Das ก็ค้นพบช่องโหว่ด้านความปลอดภัยเพิ่มเติมเช่นกัน โดยเฉพาะอย่างยิ่ง พบ XSS ช่องโหว่ กล่าวโดยย่อ: แฮ็กเกอร์สามารถแทรกรหัสที่เป็นอันตรายลงใน HTML ของหน้า Sarahah ซึ่งอาจรวมถึงไวรัสและสปายแวร์

ปัญหาอื่นๆ: Helme ระบุข้อผิดพลาดร้ายแรงในส่วนหัวด้านความปลอดภัย ซึ่งทำให้ไม่สามารถใช้โปรโตคอลความปลอดภัย HSTS ได้ นี่คือเครื่องมือที่ใช้มากขึ้นเพื่อต่อสู้กับการจี้คุกกี้ และความเป็นไปได้ของการโจมตีเพื่อใช้ประโยชน์จากเวอร์ชันเก่าของเว็บ งานของ Helme คือพยายามให้ Sarahah ปกป้องผู้ใช้อย่างเหมาะสม ตามที่เว็บระบุ คู่แข่งตัวฉกาจอย่าง Ask.fm เป็นเว็บไซต์ที่เต็มไปด้วยข้อผิดพลาดและข้อบกพร่องด้านความปลอดภัย ดังนั้น อะไรจะดีไปกว่า Sarahah ที่จะเรียนรู้จากความล้มเหลวของอันนี้และกลายเป็นหน้าเว็บที่ปลอดภัย

การล่วงละเมิดและการเสียน้ำตา: อันตรายของ Sarahah บนเว็บ

ในเรื่องการกรองความปลอดภัยและการต่อต้านการล่วงละเมิด ผู้วิจัยก็มีสิ่งที่จะบอกเช่นกัน เขาสังเกตเห็นว่า ตัวอย่างเช่น ในประโยค 'ฉันจะฆ่าเพื่อชีสเบอร์เกอร์' แอปพลิเคชันจะลบโพสต์ เนื่องจากพบคำเชิงลบ 'ฆ่า'อย่างไรก็ตาม หากใส่เครื่องหมายจุลภาคต่อจาก "จะฆ่า" แอปพลิเคชันจะไม่สนใจเครื่องหมายนั้น ใช่ มันไม่ถูกต้องตามหลักไวยากรณ์ แต่ข้อความก็จะผ่านไปได้อยู่ดี

และความล้มเหลวอื่นๆ: เพจของ Sarahah ไม่จำกัดความเร็วที่ผู้ใช้เขียนความคิดเห็น ดังนั้นใครก็ตามสามารถถูกโจมตีจากการคุกคามด้วยบรรทัดสคริปต์ง่ายๆ นอกจากนี้ Sarahah ยังไม่มีฟังก์ชันลบจำนวนมาก ดังนั้นหากเราเป็น ตกเป็นเหยื่อของการทิ้งระเบิดความคิดเห็น เราจะต้องลบทีละคน

นอกจากนี้ ในการรีเซ็ตรหัสผ่านใน Sarahah เว็บไซต์จะขอเฉพาะที่อยู่อีเมลที่เชื่อมโยงกับบัญชีจากผู้ใช้เท่านั้น เมื่อได้รับการร้องขอ ระบบจะสร้างใหม่และส่งไปยังผู้ใช้โดยอัตโนมัติ ในแง่นี้ แฮ็กเกอร์สามารถเปลี่ยนบรรทัดของสคริปต์เพื่อให้รหัสผ่านเปลี่ยนทุกช่วงเวลา ดังนั้น จึงเป็นไปไม่ได้ที่เจ้าของบัญชีจะเข้าถึงรหัสผ่านได้สคริปต์เดียวกันนี้ยังสามารถใช้เพื่อทำให้การเข้าถึงบัญชีไม่สำเร็จ แม้ว่ารหัสผ่านจะถูกต้องก็ตาม Sarahah ล็อคบัญชีผู้ใช้ทั้งหมด ที่พยายามเข้าสู่ระบบมากกว่า 10 ครั้ง

นักวิจัยได้ติดต่อ Sarahah ในภายหลังเพื่อแจ้งเธอเกี่ยวกับ ถล่มความปลอดภัยในเวอร์ชันเว็บของเธอ การสืบสวนที่ใช้เวลาหลายเดือนของเขา และนั่นทำให้แอปพลิเคชัน Sarahah เป็นชุมชนที่ปราศจากการล่วงละเมิดและการโจมตีทางไซเบอร์โดยไตร่ตรองไว้ก่อนในที่สุด