साराह
विषयसूची:
अगले वेब पेज पर जो पढ़ा जा सकता है, उसके अनुसार, एक ब्रिटिश शोधकर्ता ने साराहा एप्लिकेशन में कई सुरक्षा खामियों की सूचना दी है, जो किशोरों के बीच काफी लोकप्रिय है। Sarahah, अरबी में, ईमानदारी का मतलब है। और यद्यपि कई लोग एप्लिकेशन का उपयोग परेशान करने या डराने-धमकाने का अभ्यास करने के लिए कर रहे हैं, एप्लिकेशन का उद्देश्य बिल्कुल विपरीत है: हमारे साथी पुरुषों की प्रशंसा करना। जिन सुरक्षा समस्याओं का वे उल्लेख करते हैं, वे साराह एप्लिकेशन के डेस्कटॉप संस्करण तक ही सीमित हैं, फिलहाल इसके मोबाइल संस्करण को मुफ्त में छोड़ दिया गया है।
साराहा के वेब संस्करण में बहुत से कीड़े हैं
स्कॉट हेल्मे, एक शोधकर्ता ने पाया कि साराह की वेबसाइट पर सीएसआरएफ वायरस सुरक्षा को तोड़ना बेहद आसान था। CSRF वायरस अत्यधिक हानिकारक और खतरनाक है, हमारे खाते पर नियंत्रण करने में सक्षम होने के कारण, हमारे उपयोग से संबंधित कार्यों को करने में सक्षम है। हेल्मे बताते हैं कि एक हमलावर वित्तीय लाभ के लिए हमारे खाते का उपयोग अन्य अज्ञात खातों को बुकमार्क करने के लिए कर सकता है।
वह यह भी बताते हैं कि पिछले अगस्त में रोनी दास नाम के एक अन्य शोधकर्ता ने भी अधिक सुरक्षा छेदों की खोज की थी। विशेष रूप से, इसे एक XSS भेद्यता मिली।
अन्य मुद्दे: हेल्मे ने सुरक्षा शीर्षलेख में गंभीर त्रुटियों की पहचान की, जो एचएसटीएस सुरक्षा प्रोटोकॉल के उपयोग को रोकता है। यह एक ऐसा टूल है जिसका उपयोग कुकी के अपहरण और वेब के पुराने संस्करणों का लाभ उठाने वाले हमले की संभावना से लड़ने के लिए तेजी से किया जा रहा है। हेल्मे का काम साराह को अपने उपयोगकर्ताओं की ठीक से सुरक्षा करने की कोशिश करना है। जैसा कि वेब बताता है, इसका महान प्रतियोगी, Ask.fm, त्रुटियों और सुरक्षा खामियों से भरी साइट है। इसलिए, इस वेब पेज की विफलताओं से सीखने और एक सुरक्षित वेब पेज बनने के लिए साराह से बेहतर क्या होगा।
उत्पीड़न और तोड़-फोड़: वेब पर Sarahah का खतरा
सुरक्षा और एंटी-उत्पीड़न फ़िल्टर के बारे में, शोधकर्ता को भी कुछ कहना है। उन्होंने देखा है कि, उदाहरण के लिए, वाक्य में 'मैं एक चीज़बर्गर के लिए मारूंगा', एप्लिकेशन पोस्ट को हटा देगा, क्योंकि यह एक नकारात्मक शब्द 'किल' पाता है।हालांकि, अगर 'मार डालेगा' के बाद अल्पविराम लगाया जाता है, तो एप्लिकेशन इसे अनदेखा कर देगा। हां, यह व्याकरण की दृष्टि से सही नहीं है, लेकिन फिर भी संदेश पहुंच जाएगा।
और अधिक विफलताएं: Sarahah के पेज पर इसके उपयोगकर्ताओं द्वारा टिप्पणियां लिखने की गति की कोई सीमा नहीं है, इसलिए किसी को भी स्क्रिप्ट की सरल रेखा के साथ उत्पीड़न की बमबारी का सामना करना पड़ सकता है। Sarahah में कोई सामूहिक डिलीट फ़ंक्शन भी नहीं है, इसलिए यदि हम टिप्पणी बमबारी के शिकार हैं, तो हमें उन्हें एक-एक करके हटाना होगा।
इसके अलावा, साराह में पासवर्ड रीसेट करने के लिए, वेबसाइट केवल खाते से जुड़े ईमेल पते के लिए उपयोगकर्ता से पूछती है। एक बार अनुरोध करने के बाद, सिस्टम एक नया जनरेट करता है और इसे स्वचालित रूप से उपयोगकर्ता को भेजता है। इस अर्थ में, एक हैकर स्क्रिप्ट की एक पंक्ति को बदल सकता है ताकि पासवर्ड हर पल बदल जाए, और इस प्रकार खाते के स्वामी के लिए इसे एक्सेस करना असंभव होगा।पासवर्ड वैध होने पर भी खाते तक पहुंच को असफल बनाने के लिए इसी स्क्रिप्ट का उपयोग किया जा सकता है। Sarahah सभी उपयोगकर्ता खातों को लॉक करता है जिनमें 10 से अधिक लॉगिन प्रयास हैं।
अनुसंधानकर्ता ने बाद में साराह को अपने वेब संस्करण में सुरक्षा उल्लंघनों के हिमस्खलन के बारे में सूचित करने के लिए संपर्क किया। एक जांच जिसमें महीनों का समय लगा है और जो साराहा एप्लिकेशन को उत्पीड़न और पूर्व-निर्धारित साइबर हमलों से मुक्त समुदाय बना सकता है।
