Показано с 1 по 3 из 3.

Утечка личной информации на Одноклассники.ru

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704

    Утечка личной информации на Одноклассники.ru

    Довольно забавная ошибка, хотя потенциально применимая для целенаправленного использования. Проявилась она в тот момент, когда Антон Носик опубликовал в своем журнале ссылку на одноклассническую страницу организатора беспорядков, случившихся на вчерашних политических дебатах, сообщает Дмитрий Леонов на сайте bugtraq.ru. В ссылку был включен идентификатор сессии, что привело к весьма своеобразным последствиям. Во-первых, страница стала доступна и незарегистрированным пользователям (возможно, идентификатор сессии и был включен ради этого, а не просто по неосторожности). Во-вторых, после ее открытия переход по ссылкам верхнего меню ("Моя страница", "Мои сообщения") приводит к отображению соответствующих страниц случайных (или не очень) пользователей сервиса, дает просматривать личные сообщения, фотографии, редактировать профиль и т.п. По одной из версий, таким образом засвечивается страница пользователя, перед этим прошедшего по ссылке с идентификатором сессии. Если это предположение правильно, то существует возможность целенаправленной атаки путем заманивания на соответствующую ссылку. Звучит вполне правдоподобно, впрочем, однозначно подтвердить эту версию, попеременно заходя с нескольких аккаунтов, лично мне не удалось - то ли поток желающих пройтись по ссылке стал слишком велик, то ли источник проблемы все-таки в чем-то другом. Похоже, что ошибки вокруг запоминания логина становятся настоящим бичом онлайновых сервисов. Дырку довольно оперативно закрыли, но, судя по интенсивно меняющимся в последние минуты ее существования фотографиям и именам, желающих покуражиться над чужими аккаунтами оказалось не так уж мало (а что было бы, попади эти 3.5 часа на пик рабочего времени, и представить страшно). Так что пользователям из "группы риска", сходившим по носиковской ссылке, как минимум стоит наведаться на свою страницу.

    uinc.ru
    Left home for a few days and look what happens...

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    На сайте популярной российской социальной сети "Одноклассники.Ру" обнаружена и исправлена ошибка, позволявшая изменять информацию о любом пользователе и писать сообщения от его имени, сообщается в блоге Антона Носика.
    Ошибка заключалась в сохранении сервером сессии пользователя (уникального кода, создаваемого при авторизации). Злоумышленник мог отправить кому-либо ссылку на страницу любого пользователя сайта odnoklassniki.ru, содержащую номер сессии. Если жертва открывала ссылку, и вводила свой адрес электронной почты и пароль для авторизации, следующий пользователь, открывший эту же ссылку с номером сессии, оказывался на сайте под именем последнего посетителя с правами полного доступа к его профилю.

    Портал "Одноклассники.ру" входит в тройку самых популярных российских социальных сетей. Проект запущен в марте 2006 года и предназначен, как следует из названия, для поиска и переписки с одноклассниками, сокурсниками и коллегами по работе. На данный момент социальная сеть насчитывает пять миллионов пользователей.

    securitylab.ru
    Left home for a few days and look what happens...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1720
    Уязвимость так и не исправили...
    копируешь из своих гостей ссылку на профиль гостя...
    логинишься под любым другим именем (для чистоты эксперимента в другом браузере)... вводишь ссылку и ву-а-ля... ты залогинен под тем именем к кому заходил гость...
    срабатывает через раз...
    вывод - когда надо показать чей-то профиль - копируйте ссылку из профиля
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

Похожие темы

  1. Кража информации
    От IIItepSeLb в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 01.05.2012, 14:24
  2. Каналы утечек конфиденциальной информации
    От CyberWriter в разделе Наши статьи
    Ответов: 0
    Последнее сообщение: 02.04.2012, 20:30
  3. Методы восстановления информации?
    От aleksandrln в разделе Аппаратное обеспечение
    Ответов: 0
    Последнее сообщение: 23.05.2010, 11:53
  4. восстановление информации.
    От fOL в разделе Microsoft Windows
    Ответов: 15
    Последнее сообщение: 09.10.2008, 02:04
  5. Методы защиты информации
    От kps в разделе Сетевые атаки
    Ответов: 0
    Последнее сообщение: 30.12.2004, 20:32

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00704 seconds with 19 queries