New малко Вологда

Хакерски лична сметка в мегафон - лесно е!

"Мегафон" "знае", че е вас, които сега се обръщат към сайта и дава възможност.

За да изключите тази функция в една и съща услуга, ръководството има настройка "Управление на автоматично влизане", но тя не работи. Т.е. тя е в състояние не е позволено, но всъщност позволи вход.

В резултат на това, че никога не докосвайте проверката да се уверите, че той е "забранено" позиции, но това се оказа да се разреши влизане.

Какви са проблемите на сигурността, които той може да предизвика?

1. Ако засяване в интернет на други потребители, те имат достъп до лицето си за управление на профила.

2. Същото има достъп до целия софтуер, който работи на всички (си) устройства, които сте разпределени онлайн. Тук може да се твърди, че няма нищо, казват те, тичам неразбираем (Trojan) софтуер, обаче, един от най-основният начин за защита срещу зловреден софтуер - това разграничение привилегии. Тук ние виждаме, че всеки софтуер с нулеви привилегии в системата има достъп до личния си профил.

3. Въпроси за всички XSS уязвимости - не са проучвани.

Да, и Мегафон, нещо като, наясно с опасността. Новата версия на "My Account" (където такава уязвимост не присъства), предупреждение е обесване:

Преди две седмици аз съобщих за този проблем до техническа поддръжка, но в замяна получих следното:

Същото е намерен на публикация в интернет cracklover.livejournal.com/20424.html заявявам, че този проблем съществува отдавна, или регресия.

Може би има проблем с един от мен? Аз зададете въпрос на toster.ru/q/239801 на тостер - един човек реагира и потвърди проблема.