В този пост ще се разгледаме опасността, която крие коментирането на новина на сайта http://offnews.bg. Или как Вашият мейл и IP адрес могат да станат публично достъпни.

Целият този пост е породен от любопитство и насочен към безопасността на крайните потребители. Защо любопитство? Ако се загледате, главно в политическите коментари, те винаги биват разделени на “бели” и “черни”. Ако отделите малко повече време след този пост и използвате материалите, главно описани в първата подточка, то тогава ще намерите много интересни неща и ще откриете доста закономерности.

Проблеми:

  • Можете по всяко време да разберете IP адрес + email на всеки потребител, който е коментирал. Как? Просто посещавате http://offnews.bg/requests.php?act=opinion&opid={id} и заменяте {id} с номерът на коментара, който искате да видите. А как намерите този номер? Ако сте с Google Chrome - докато сте с мишката над коментар - дясно копче, Inspect element и търсите нещо от този сорт <div class="comment_info" id="opХХХХХХ"> , където ХХХХХХ е числото, което ви трябва. Пример: Random comment Проблемът в горната картинка е че се виждат няколко неща (цензурирани са за запазване на личните данни на потребителя):
    1. IP адрес
    2. email
    3. име
    4. коментар
    5. дата и час
    6. браузър

    Тривиално е да се направи crawer, който да мине през всички коментари и да вземе много емейл адреси за спам. А и буквално могат да ви намерят по IP адреса, да разберат политическата ви ориентация и т.н. А и ако сте “платен” коментатор, то тогава нещата могат да станат напечени. Няма да коментирам дали проблемът е от некомпетентност или нарочно е оставен за BigBrother.

  • Системата за гласуване е IP адрес базирана. Т.е. ако имате достатъчно проксита или достатъчно голям ботнет можете без проблем да “премахнете” неудобните коментари. Също, защото одобряването на коментари от новите потребители изисква одобрение от администратор, то тази система може да бъде претоварена с добре координирана атака.

  • Няма по подразбиране HTTPS. т.е. когато влизате на сайта, той не ви прехвърля автоматично към криптираната версия (https://offnews.bg). Да не говорим, че дори и когато сте на нея, част от ресурсите пак се зареждат, без криптиране (през http).

  • robots.txt, много добре разкрива къде е администраторската част на сайта. Още по-интересно е че там има само една определена новина 1. Доста интересно е съдържанието и, могат да се зададат доста въпроси, защо тази новина е забранено да се индексира от търсачките, но това оставям за друг път.

    Това не е свързано със беопасността, но дразни - без какъвто и да е ad blocker , на десктоп машина сайтът прави умопомръчителните 300+ заявки, сваляйки около 3Mb+ данни. На мобилната весия нещата са малко по-добре: 120 заявки и 700kb. Ad blocker нещата изглеждат така 214 заявки, 2.2Mb, а на мобилната весия: 114 заявки, 442Kb за тази новина. Също на PageSpeed нещата не са много добре.

Това е за сега. Не съм пускал никакви penetration тестове срещу сайта (XSS, SQL injection etc.), но ако някой желае - давайте и споделете резултатите.

f.