שלום חברים,
הפוסט הזה קשור לכנס בעקיפין.
לפני כמה ימים מצאתי בעיית אבטחה בפורומים של Ynet. כמו כל האקר White Hat טוב שלחתי להם מייל מפורט שמסביר את הבעיה.
למייל שלי ענה נציג בשם אבישי שביקש הסבר מפורט יותר, הגבתי לו במייל הבא בצורה הפשוטה ביותר שיכולתי להגיב בה:
שלום אבישי,
ישנה אפשרות במערכת הפורומים של YNet לכתוב באמצעות שמות משתמשים של אחרים.
לדוגמא, במידה ושם המשתמש שלי הוא attacker ויש מישהו בפורום שאני שונא ושם המשתמש שלו הוא victim אני אוכל להתחבר למערכת הפורומים שלכם בשם המשתמש attacker ובעצם לכתוב בשם ה victim במקום בשם המשתמש שלי.
דוגמא נוספת, נניח ויש גורם זדוני שרוצה להזיק למשתמשים בפורום, הוא ירשם לפורום בשם משתמש test אך הוא יוכל לכתוב בפועל בשם המשתמש של מנהל הפורום (לדוגמא) , ז"א שתתבצע כאן מעין הונאת phishing. מנהל הפורום (שלא כתב בעצמו את ההודעה אלא גורם זדוני כתב במקומו) יכתוב לכל המשתמשים בפורום "נא להיכנס ללינק הבא" ויתן לינק לסוס טרוייאני או לוירוס, המשתמשים בפורום יכנסו ללינק כי הם סומכים על מנהל הפורום ואז המחשב שלהם ידבק בוירוס או בסוס טרוייאני.
שימוש בפרצה שנמצאה בפורום יכול לגרום לבלגן שלם בפורום כי כל משתמש יוכל לכתוב בכל שם שיחפוץ והאקרים יכולים להשתמש בפרצה למעשים זדוניים.
מה שאני מבקש הוא שלאחר שאסביר לכם את השלבים המדוייקים לפריצה תכתבו על הנושא באתרכם כפי שנהוג באתרים גדולים בעולם.
מחכה לתגובתך,
למייל הזה אבישי הגיב בצורה הבאה:
יניב שוב שלום,
ככלל, כאשר גולש נרשם לפורום הכולל הרשמה תחת כינוי מסויים, לא יוכל גולש אחר להשתמש בכינוי היות והוא תפוס.
הודעות מנהל הן אך ורק דרך ממשק מיוחד אשר אין אותו לאף גולש מן המניין.
בפורומים ללא הרשמה ניתן לרשום תחת איזה כינויי שיבחר הגולש, כולל כינויי הקיים כבר.
בנוסף, העברנו את הערותיך לעיונם של אנשי הצוות הטכני באתר.
אנו תמיד עומדים לרשותך לכל שאלה, בעיה או הערה.
אבישי ב.
מחלקת שרות לקוחות
www.ynet.co.il
ניסיתי שוב להסביר לו את הבעיה וזכיתי להתעלמות ממנו במשך כמה ימים.
היות ואין לי זמן מיותר להשקיע בנושא הכנתי סרטון (פשוט מאוד) שמדגים את הבעיה.
היות ואין ברצוני להשתמש בשמות משתמשים קיימים ב Ynet.co.il יצרתי שני משתמשים באתר.
testattynet -ה"תוקף".
testvicynet – ה"קורבן".
התוקף ישתמש בשם המשתמש של הקורבן לכתיבת הודעות בפורום.
ז"א, אני אתחבר בשם המשתמש של התוקף – testattynet ואכתוב הודעות בשם המשתמש של
הקורבן – testvicynet.
לינק לסרטון: http://www.youtube.com/watch?v=eqeeaV69RoQ
יש לצפות בתצורת HD של YouTube לצפיה איכותית יותר.
יצא ובמקרה הפוסט הזה ב- 1 באפריל, אבל הפוסט אמיתי.
אני מבקש לא להשתמש בפירצה, כל שימוש ביפרצה הוא לא על אחריותי והמידע המוצג בפוסט הוא למטרות לימוד בלבד.
יניב מירון – יזם ומארגן הכנס.