సరహః
విషయ సూచిక:
The Next వెబ్ పేజీలో చదవగలిగే దాని ప్రకారం, ఒక బ్రిటీష్ పరిశోధకుడు Sarahah అప్లికేషన్లో అనేక భద్రతా లోపాలను నివేదించారు, ఇది యుక్తవయస్కుల మధ్య చాలా కోపంగా ఉంది. అరబిక్లో సరహా అంటే నిజాయితీ అని అర్థం. మరియు బెదిరింపులను వేధించడానికి లేదా అభ్యాసం చేయడానికి చాలా మంది అప్లికేషన్ను ఉపయోగిస్తున్నప్పటికీ, అప్లికేషన్ యొక్క ఉద్దేశ్యం సరిగ్గా వ్యతిరేకం: మన తోటి పురుషులను అభినందించడం. వారు సూచించే భద్రతా సమస్యలు ప్రత్యేకంగా Sarahah అప్లికేషన్ యొక్క డెస్క్టాప్ వెర్షన్కు మాత్రమే పరిమితం చేయబడ్డాయి, దీని మొబైల్ వెర్షన్ ప్రస్తుతానికి ఉచితం.
సరాహా యొక్క వెబ్ వెర్షన్ను చాలా బగ్లు వేధిస్తున్నాయి
Scott Helme, ఒక పరిశోధకుడు, Sarahah వెబ్సైట్లోని CSRF వైరస్ రక్షణను విచ్ఛిన్నం చేయడం చాలా సులభం అని కనుగొన్నారు. CSRF వైరస్ విపరీతంగా హానికరం మరియు ప్రమాదకరమైనది, మా ఖాతాని ని నియంత్రించగలుగుతుంది, మా ఉపయోగానికి సంబంధం లేని కార్యకలాపాలను నిర్వహిస్తుంది. దాడి చేసే వ్యక్తి, ఆర్థికంగా లాభం పొందేందుకు, తెలియని ఇతర ఖాతాలను బుక్మార్క్ చేయడానికి మా ఖాతాను ఉపయోగించవచ్చని హెల్మ్ వివరించాడు.
గత ఆగస్టులో రోనీ దాస్ అనే మరో పరిశోధకుడు కూడా మరిన్ని భద్రతా రంధ్రాలను కనుగొన్నారని కూడా అతను ఎత్తి చూపాడు. ప్రత్యేకించి, ఇది XSS దుర్బలత్వాన్ని కనుగొంది. సంక్షిప్తంగా: వైరస్లు మరియు స్పైవేర్లను కలిగి ఉండే Sarahah పేజీ యొక్క HTMLలో హ్యాకర్ హానికరమైన కోడ్ని చొప్పించవచ్చు.
ఇతర సమస్యలు: హెల్మ్ భద్రతా హెడర్లో తీవ్రమైన లోపాలను గుర్తించింది, ఇది HSTS భద్రతా ప్రోటోకాల్ వినియోగాన్ని నిరోధిస్తుంది. ఇది కుకీలను హైజాక్ చేయడం మరియు వెబ్ యొక్క పాత సంస్కరణల ప్రయోజనాన్ని పొందే దాడికి వ్యతిరేకంగా పోరాడేందుకు ఎక్కువగా ఉపయోగించే సాధనం. హెల్మ్ యొక్క పని దాని వినియోగదారులను సరిగ్గా రక్షించడానికి Sarahahని పొందడానికి ప్రయత్నించడం. వెబ్ పేర్కొన్నట్లుగా, దాని గొప్ప పోటీదారు, Ask.fm, లోపాలు మరియు భద్రతా లోపాలతో కూడిన సైట్. కాబట్టి, దీని వైఫల్యాల నుండి నేర్చుకుని సురక్షితమైన వెబ్ పేజీగా మారడానికి Sarahah కంటే మెరుగైనది ఏముంది.
వేధింపు మరియు కన్నీరు: వెబ్లో సరహా ప్రమాదం
భద్రత మరియు వేధింపు నిరోధక ఫిల్టర్ గురించి, పరిశోధకుడు కూడా చెప్పవలసింది ఉంది. ఉదాహరణకు, 'నేను చీజ్బర్గర్ కోసం చంపుతాను' అనే వాక్యంలో, అప్లికేషన్ పోస్ట్ను తొలగిస్తుందని అతను గమనించాడు, ఎందుకంటే అది 'కిల్' అనే ప్రతికూల పదాన్ని కనుగొంటుంది.అయితే, 'Would Kill' తర్వాత కామాను ఉంచినట్లయితే, అప్లికేషన్ దానిని విస్మరిస్తుంది. అవును, ఇది వ్యాకరణపరంగా సరైనది కాదు, కానీ సందేశం ఎలాగైనా అందుతుంది.
మరియు మరిన్ని వైఫల్యాలు: Sarahah యొక్క పేజీకి దాని వినియోగదారులు వ్యాఖ్యలను వ్రాసే వేగంపై ఎటువంటి పరిమితులు లేవు, కాబట్టి ఎవరైనా సాధారణ స్క్రిప్ట్తో వేధింపులకు గురికావచ్చు. Sarahahకి కూడా మాస్ డిలీట్ ఫంక్షన్ లేదు, కాబట్టి మనం వ్యాఖ్య బాంబు దాడికి బాధితులైతే, మనం వాటిని ఒక్కొక్కటిగా తొలగించాలి.
అదనంగా, Sarahahలో పాస్వర్డ్ని రీసెట్ చేయడానికి, వెబ్సైట్ వినియోగదారుని ఖాతాతో అనుబంధించబడిన ఇమెయిల్ చిరునామాను మాత్రమే అడుగుతుంది. అభ్యర్థించిన తర్వాత, సిస్టమ్ కొత్తదాన్ని ఉత్పత్తి చేస్తుంది మరియు దాన్ని స్వయంచాలకంగా వినియోగదారుకు పంపుతుంది. ఈ కోణంలో, ఒక హ్యాకర్ స్క్రిప్ట్ లైన్ను మార్చవచ్చు, తద్వారా పాస్వర్డ్ ప్రతి క్షణం మారుతుంది మరియు ఖాతా యజమాని దానిని యాక్సెస్ చేయడం అసాధ్యం.పాస్వర్డ్ చెల్లుబాటులో ఉన్నప్పటికీ, ఖాతాకు ప్రాప్యత విజయవంతం కావడానికి ఇదే స్క్రిప్ట్ ఉపయోగించబడుతుంది. Sarahah 10 కంటే ఎక్కువ లాగిన్ ప్రయత్నాలను కలిగి ఉన్న అన్ని వినియోగదారు ఖాతాలను లాక్ చేస్తుంది
ఆమె వెబ్ వెర్షన్లో ఈ భద్రతా ఉల్లంఘనల హిమపాతం గురించి ఆమెకు తెలియజేయడానికి పరిశోధకుడు తర్వాత సరాహాను సంప్రదించారు. అతని సమయం చాలా నెలలు పట్టింది మరియు చివరకు సరాహా అప్లికేషన్ను వేధింపులు మరియు ముందస్తు సైబర్టాక్లు లేని కమ్యూనిటీగా మార్చగలదు.
