Перейти к содержимому


Фото
- - - - -

Ошибка с logout'ом на сайте drweb.ru

ошиб logout

  • Please log in to reply
1 ответов в теме

#1 uaHwElAqIW

uaHwElAqIW

    Member

  • Posters
  • 116 Сообщений:

Отправлено 16 Июнь 2017 - 17:31

Здравствуйте.
 
Заметил существенную ошибку безопасности на сайте DrWeb (https://www.drweb.ru).
 
Шаги для воспроизведения ошибки:
1). Я залогинен в аккаунте сайта drweb.ru (посмотрел дату окончания моей лицензии и прошёл 1 тест в проекте ВебIQметр). Я хочу выйти из аккаунта сайта drweb.ru. Нажимаю соответствующую кнопку "Выйти".
2). Открываю страницу проекта ВебIQметра (https://www.drweb.ru/web-iq/), ничего там не делаю, закрываю эту страницу.
3). Обновляю страницу drweb.ru
4). Оказывается, что я СНОВА залогинен в аккаунте сайта drweb.ru, хотя я только что (на шаге 1) ведь вышел из своего аккаунта сайта drweb.ru и не входил туда больше.
 
Вот запись экрана http://www.dailymotion.com/video/x5qslju
 
Ошибка существенная, опасная, требует немедленного исправления.
 
Сценарий взлома и причинения вреда:
1). Человек на общественном компьютере поработал в своём аккаунте сайта drweb.ru (пообщался со службой поддержки, продлил лицензию, прошёл пару тестов ВебIQметра, прошёл ещё один курс в системе обучения, др.). 
2). Вышел (нажатием соответствующей кнопки "Выйти" (как и положено, как и учат везде)) из своего аккаунта сайта drweb.ru. Пошёл спокойно домой в уверенности, что всё сделал правильно. И чего ему не быть уверенным и спокойным: он ведь вышел (нажатием соответствующей кнопки "Выйти")?
3). Следующий пользователь общественного компьютера просто заходит на страницу проекта ВебIQметр и оказывается в аккаунте сайта drweb.ru предыдущего пользователя.
 
В аккаунте сайта drweb.ru злоумышленник может посмотреть лицензии (и что-нибудь с ними сделать, помимо простого любования), посмотреть личные данные (домашний/рабочий адрес, фотографию, e-mail, телефон, др.; и все эти данные увязаны между собой, что ещё более опасно). Только раскрытие личных данных уже может привести к очень печальным последствиям; вы и сами это знаете не хуже меня. E-mail также может быть логином к другим сайтам Интернета (сейчас это весьма распространено). Могут e-mail заспамить так (зная персональные данные), что человек обязательно такие письма откроет. И много-много чего можно с e-mail'ом сделать.
 
Но, помимо перечисленного, злоумышленник может сделать ещё больше вреда на вашем и на не ваших сайтах. Об этом я пока не буду говорить до того, как будет исправлена ошибка, иначе это наверняка причинит большой вред вашим пользователям.
 
Также рекомендую проверить работу с другими аккаунтами (кабинет заочника, экзамены для получения сертификата, др.). Мне лень снимать видео-ролики, какие там есть ошибки безопасности.
 
Браузер - обычный Chrome, безо всяких специфических настроек. Проверял также на Firefox'е.
 
Исправьте, пожалуйста, пока киберпреступники не воспользовались.


#2 Eugene Kuzin

Eugene Kuzin

    Member

  • Dr.Web Staff
  • 159 Сообщений:

Отправлено 16 Июнь 2017 - 18:42

Фиксед, спасибо что обратили внимание.





Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых