دخول

ذات مرة ، في صيف عام 2018 ، كنت مهتمًا بمعرفة ما هو بالضبط البحث عن نقاط الضعف في تطبيقات الويب وطلبت من صديق أن يوضح كيف يعمل. اخترنا كضحية الشبكة الاجتماعية للشركات لشركتنا (تم تطويرها بواسطة DaOffice ).

الجيل الجديد من الإنترانت. الاجتماعية. موبايل. إشراك.

بدأنا في الدراسة ووجدنا العديد من نقاط الضعف غير الحرجة المتعلقة بنقص الحماية ضد XSS و CSRF ، إلخ. لكن المقالة لا تتعلق بها على الإطلاق ، والآن ، إذا كان لديك شبكة اجتماعية في شركتك ، فيمكنك التعرف عليها.

حذف المستخدم الذاتي

لقد قمت بتسجيل الدخول إلى الشبكة الاجتماعية ، وبدأنا في دراسة الطلبات المتبادلة بين المتصفح والخادم. في واحدة من أجزاء شفرة الصفحة ، اشتعلت عيني عند ذكر صفحة باسم "SelfDelete" (العنوان الكامل https: // <موقع شبكتك الاجتماعية> / net_home / PrivateRoom / SelfDelete ). لم يتمكنوا من العثور على رابط / زر في الواجهة وفي النهاية قمت بالنقر فوقه ، بعد أن تم حذف حسابي من الشبكة الاجتماعية. الحقيقة هي أن ملفات تعريف الارتباط التي سحبت نفسها في المتصفح كانت كافية لحذف الحساب دون تأكيد من المستخدم - يتم تشغيل CSRF عبر طلب GET.

تصنيف الحرجية

بالنسبة للحذف ، كما تبين لاحقًا ، كان يكفي تسجيل المستخدم للدخول إلى الحساب ولم يكن ملف تعريف الارتباط الخاص به فاسدًا ، لإجبار المستخدم على اتباع الرابط من خلال المتصفح بأي طريقة.

وفقًا لنظام تسجيل نقاط الضعف الشائعة ، يمكن تقييم الثغرة على النحو التالي:

أول اتصال

لسوء الحظ ، تتم الإشارة إلى رقم الهاتف فقط من جهات الاتصال على موقع المطور ، والذي ، كما كان ، يشير إلى أننا لن نحصل على أي شيء مفيد. لذلك ، اتصلنا من خلال جهات الاتصال الداخلية المعروفة وتلقينا طلب الرفض.

النداء الثاني

في أوائل أغسطس 2018 ، علم موظفونا "بأعجوبة" بوجود هذا الرابط وبدأوا في مشاركته بنشاط. بدأ مستخدمونا في التسجيل من جديد على شبكة اجتماعية ، وهكذا بدا الأمر:







ونتيجة لذلك ، قام المطور بإخطار المطور بأن مستخدمينا ، بسبب نقص التراخيص ، يحذفون الزملاء ثم يسجلون أنفسهم عند ظهور ترخيص مجاني ، وشرع المطور في إصلاحه وبعد أربعة أشهر تم إصلاح الثغرة الأمنية.

من المؤسف أن بعض المستخدمين فقدوا حقوق المسؤول في المجموعات والمحتوى والسجل ، لكن لديهم رقمًا في عنوان المستخدم: https: // <موقع شبكتك الاجتماعية> / net_home / People / <اسم المستخدم> 2
في عام 2019 ، لم يسمع أحد مقترحاتي لاستبدال هذه الشبكة الاجتماعية على MS Yammer ، في حين أن كل شيء لا يزال هو نفسه. إذا كان لدى أي شخص حساب لديه الحقوق اللازمة في www.cvedetails.com ، أقترح نشر الثغرة الأمنية مع وجود رابط لهذه المقالة.