Уразливості на www.youtube.com

23:56 29.01.2009

У березні, 18.03.2008, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://www.youtube.com компанії Google.

Abuse of Functionality:

На сторінці реєстрації http://www.youtube.com/signup функція Check Availability, яка призначена для перевірки чи вільний даний логін, дозволяє дізнатися логіни користувачів в системі.

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

За допомогою Brute force login identifier я легко виявив наступні логіни в системі:

0
00
000
0000
00000
000000
0000000
00000000
000000000
0000000000
a
aa
aaa
aaaa
aaaaa
aaaaaa
aaaaaaa
aaaaaaaa
aaaaaaaaa
aaaaaaaaaa

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.


2 відповідей на “Уразливості на www.youtube.com”

  1. Dimi4 каже:

    мего крута “вразливість”. Не стидно таке постити?

  2. MustLive каже:

    Dimi4

    По-перше, мені видніше, що постити. По-друге, це є уразливості, як й всі інші уразливості, що я знаходив на сайтах Гугла, в тому числі на Ютюбі, і всі уразливості треба виправляти, тому я і опублікував їх. А по-третє, я завжди роблю лише те, за що мені не буде соромно. І за жодну з опублікованих мною дірок, що я знайшов, мені не соромно.

    Зазначу, що про різні Abuse of Functionality та Insufficient Anti-automation я в себе писав чимало, в тому числі й про подібні дірки (на різних сайтах). І дивно, чому саме з приводу цих дірок на YouTube ти вирішив написати незадоволений комент. Тим паче, тут немає з чого скиглити. Якщо ти не розумієш якоїсь уразливості, вона від цього не стане меншою уразливістю ;-) .

    В себе на сайті я публікую різні уразливості, різного рівня ризику. В тому числі й низького рівня ризику. Щоб привернути увагу людей до різних уразливостей, що їх всіх потрібно виправляти (включно з дірками низького рівня ризику). Стосовно подібних Abuse of Functionality уразливостей я написав окрему статтю. Дані уразливості можуть використовуватися для виявлення логінів на сайтах, для подальшого проведення Brute Force атак для виявлення паролів.

    В моїй практиці під час проведення комерційних секюріті аудитів я не раз виявляв подібні уразливості на сайтах клієнтів. Тобто за дані уразливості, які тобі видаються нецікавими і не вартими уваги, мені люди платять гроші.

Leave a Reply

You must be logged in to post a comment.