Недавно нашел интересный сервис - он позволял оставлять на нем свои
пароли от разных сайтов и, при желании, постить при желании на все эти
сайты сразу из одного интерфейса.
Я сам таким не пользуюсь и плохо понимаю зачем такие сайты нужны, но
мне стало интересно, насколько же защищены пароли пользователей на этих
сайтах?
Полазив по сервису, нашёл парочку дырок с XSS-уязвимостью. Но на каком
сайте их не бывает? Даже на хабре вон не все еще закрыли (хотя хабр и
не хранит чужие пароли, ему простительно).
Еще больше я был удивлен, когда узнал, что сменить пароль пользователя
и любую его информацию на этом сервисе можно обладая всего лишь его
кукой. Такой простой вещи, как ограничение сессий по IP там нет, не
говоря уже о требовании ввести пароль при смене критичных данных. А это
уже совсем непростительно, даже на хабре такого неуважения к
безопасности нет.
Но это не самое смешное. Случайно я обнаружил, что если сменить свой
емейл в профиле, то система радостно отправляет на новый емейл
незашифрованный пароль пользователя. Это уже ни в какие ворота. Мало того, что даже
хранить незашифрованный пароль пользователя нельзя, но отсылать его по почте в открытом виде кому попало...
Все это мне стало настолько интересно, что я решил узнать, что же может добиться хакер на этом сайте?
Написав небольшой скриптик и применив немного психологии (чтобы
заставить людей зайти на мой профиль, на котором был этот скрипт), я
получил в открытом виде пароли около 400 пользователей сервиса.
Учитывая, что 80 и больше процентов людей используют один и тот же
пароль на нескольких сайтах (а иногда и на почте), а список сайтов, на
которых зарегистрирован пользователь, можно найти прямо в его профиле
(это основная "фишка" того сервиса, о котором идет речь), то получается
просто рай для злоумышленников.
Написав совсем немного кода на JS можно получить доступ к паролю
человека, постить от его имени в другие его блоги (если он настроил эту
"фичу" на сервисе), при удаче (или неосторожности пользователя)
получить доступ к его аккаунтам на других сайтах.
Что же это за замечательный сервис?
Это
bestpersons.ru, программисты которого с гордостью
писали о найденных XSS на самом Jaiku!
UPD: уже не гордятся :(
Удачи тем, кто использует сервисы, "объединяющие сайты".
з.ы. а еще они предоставляют OpenID ;)
habrahabr.ru