اليوم أريد أن أتحدث عن كيف وجدت في عام 2012 ثغرة في نظام تسجيل النطاق REG.RU. في كثير من الأحيان أرى قصصًا يتحدث فيها المؤلفون عن نقاط الضعف مع الإشارة إلى أن الشركة لم تولي اهتمامًا كافيًا للخطأ الموجود لفترة طويلة أو لم تقم بإصلاحه على الإطلاق. في حالتي ، كان كل شيء على العكس تمامًا ، وتم التخلص من الثغرة بسرعة كبيرة.
في سبتمبر 2012 ، بدأت
REG.RU في تسجيل النطاقات في منطقة
ru.com وأرسلت رسائل إلى جميع عملائها مع اقتراح لتلقي النطاق مجانًا في السنة الأولى في منطقة جديدة باسم نطاق مسجل بالفعل في المناطق
ru ،
rf ،
su ،
com ،
net .
اتضح أن الحصول على نطاق مجاني أمر بسيط للغاية: كان عليك اتباع الرابط من الرسالة ، وإدخال رمز تنشيط النطاق ، وتم تسجيل النطاق مجانًا لمدة عام.
قبل تسجيل النطاق ، عرض النظام التعرف على تفاصيل الاتصال للنطاق "الأصلي" الذي سيتم تسجيل نطاق الهدية من أجله ، ولكن هذه البيانات كانت مفتوحة فقط للعرض دون إمكانية التحرير ، لذلك لم يكن معنى عرضها واضحًا. ومع ذلك ، كان هذا أول خطأ: كان تسجيل نطاق جديد متاحًا عبر رابط من النموذج
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX ، ويمكن ببساطة تعداد معرف الخدمة من خلال معرفة من تم تسجيله مجال أو آخر.
تأكد خبراء REG.RU من عدم عرض جميع جهات الاتصال بشكل كامل ، ولكن تم عرض الأحرف السبعة الأولى فقط من كل حقل ، والتي من الناحية النظرية يجب ألا تكشف تمامًا عن معلومات حول مالك النطاق ، ومع ذلك ، على سبيل المثال ، كان طول اسمي ولقبي أقل من 7 أحرف وأنهم ظهرت تماما. حسنًا ، بالإضافة إلى كل شيء ، إذا عرضت الأحرف السبعة الأولى من الاسم ، يمكنك غالبًا تخمين الأحرف التي تحتاج إلى إضافتها ، مثال بسيط هو "فلاديمي".
تم إصلاح هذا الخطأ بسرعة كبيرة ، والآن أظهر النظام الأحرف الأربعة الأولى فقط ، والتي كانت أفضل بكثير ، على الرغم من أن الشخص الذي يحمل اسم "Han Solo" لن يكون مسرورًا للغاية.
الخطأ التالي هو القدرة على تسجيل المجال دون إدخال رمز التفعيل. لمنع جميع مالكي المجال من الجري لتسجيل نطاقات مجانية مرة واحدة ، قررت REG.RU إرسال رسائل ليس على الفور ، ولكن في غضون يومين ، لذلك تم توزيع الحمل بالتساوي. من وجهة نظر فنية ، كان الأمر مثل هذا: في قاعدة البيانات في الجدول مع المجالات ، تم إنشاء عمود جديد "رمز التفويض" بقيمة فارغة ، ومن وقت لآخر تم إرسال الرسائل إلى المستخدمين الذين لديهم نفس الرمز لملء هذا الحقل. يمكن أن تذهب عملية بحث بسيطة إلى رابط مثل
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX ، مما يؤدي إلى زيادة معرف الخدمة إلى القيمة عندما لم يتمكن النظام بعد من إصدار رمز تفويض لمثل هذا النطاق وتسجيل النطاق فارغًا كود.
لم يكن هناك خطأ في تسجيل مثل هذا النطاق ، ولكن بعد التسجيل أصبح من الممكن رؤية تفاصيل الاتصال الكاملة (الاسم والعنوان ورقم الهاتف) لمالك المجال "الأصلي" بدون أحرف مخفية. لم يكن من الصعب إصلاح هذا الخطأ ، ببساطة إضافة شيك لرمز تفويض غير فارغ أثناء التسجيل ، والذي قام خبراء REG.RU أيضًا بإصلاحه على الفور.
بعد فترة وجدت خطأً آخر ، ولكنه تطلب إجراءً أكثر من مجرد الفرز من خلال معرفات الخدمة. لتبسيط الإجراء لتسجيل نطاقات الهدايا ، أتاح REG.RU تسجيل نطاق دون إدخال رمز تفويض من رسالة إذا تزامن حساب البريد الإلكتروني في نظام reg.ru مع عنوان البريد الإلكتروني المحدد كجهة اتصال في المجال الأصلي. كانت مريحة للغاية بالنسبة للمستخدم ، ولكن من حيث الأمان ، لم يكن كل شيء على ما يرام.
في عام 2012 ، لم يكن هناك قانون بشأن حماية البيانات الشخصية في الإصدار الحالي ، وبالنسبة للعديد من المجالات في منطقة
ru ، يمكنك مشاهدة عنوان البريد الإلكتروني لجهة الاتصال من خلال Whois. في الوقت الذي تم فيه العثور على هذا الخطأ ، كان عنوان البريد الإلكتروني مخفيًا بالفعل ، ولكن من خلال خدمات عرض سجل Whois ، يمكنك رؤية البريد الإلكتروني ، ومع احتمال كبير ، كان ذا صلة. بعد ذلك ، كان عليك محاولة التسجيل في نظام REG.RU باستخدام عنوان البريد الإلكتروني هذا ، وبعد ذلك ، بدون رمز التفويض ، احصل على نطاق مجاني ، والذي بدوره فتح الوصول إلى معلومات الاتصال للنطاق الأصلي.
باختصار ، الإجراء هو كما يلي:
- نذهب إلى الصفحة مثل
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX ونلقي نظرة على اسم المجال باستخدام هذا المعرف ، على سبيل المثال ، habr.ru.com . - من خلال خدمة عارض محفوظات Whois نجد عنوان البريد الإلكتروني للمجال habr.ru.
- باستخدام عنوان البريد الإلكتروني هذا ، نقوم بإنشاء حساب في نظام REG.RU (لم يكن تأكيد ملكية عنوان البريد الإلكتروني مطلوبًا بعد ذلك).
- بدون إدخال رمز التحقق ، نسجل المجال habr.ru.com ونرى تفاصيل الاتصال الكاملة للمالك habr.ru.
من المحتمل أن تؤدي الأخطاء التي تم إجراؤها بواسطة REG.RU إلى تسرب كمية كبيرة من البيانات الشخصية لمالكي المجال ، ولكن تم إصلاح جميع الأخطاء بسرعة كبيرة. لقد مر أقل من يومين من لحظة كتابة الرسالة الأولى (وكتبتها شخصيًا إلى المدير التنفيذي لـ REG.RU) وقبل إصلاح جميع نقاط الضعف ، والتي ، في رأيي ، هي وقت قصير جدًا لشركة بهذا الحجم وشروط لإصلاح نقاط الضعف الأخرى في الشركات الأخرى.
ألق نظرة على VPS.today ، موقع للعثور على خوادم افتراضية. 1400 تعرفة من 120 مضيف ، واجهة مريحة وعدد كبير من المعايير للعثور على أفضل خادم افتراضي.