Ce este cu „Hack-ul” Biziday?

Ce este cu „Hack-ul” Biziday?

Biziday a fost ieri „hăcuit”. E un termen ușor forțat și, la cum arată comunicarea în acest moment, aș zice că nici nu prea s-a înțeles unde a fost problema.

Ce cred că s-a întâmplat? Întâi câteva noțiuni:

  • Pentru a putea avea o legătură device-server, se face o comunicare pe bază de API. Asta înseamnă că orice informație afișată în aplicație s-ar putea afișa separat, oriunde altundeva (e.g. într-o pagină web);
  • În mod normal, ar trebui să existe un fel de semnătură din partea device-ului în orice request, lucru ce îi spune serverului că cererea tocmai primită este una validă;
  • În mod la fel de normal, orice formular conține o cheie folosită o singură dată ce este verificată la trimiterea formularului. Da, inclusiv formularele din admin. Mai ales formularele din admin.

Eh, ce cred eu că s-a întâmplat? Verificarea asta a fost defectuoasă și/sau nu a avut loc. Iar la cum arată treaba (e.g. nu apare în loguri), aș zice că s-a întâmplat într-un punct al aplicației unde un programator (sau mai mulți, dacă s-a făcut code review) a cosiderat că „aici putem avea încredere în utilizatori”.

Este o problemă veche de când lumea ce are soluții la fel de vechi: majoritatea framework-urilor au ceva token, WordPress are nonces șamd.

PS: La un cutremur de zece pe richter, tot ce poți face este să spui rugăciuni.

De ce este nevoie de o disciplină?

6 Comentarii

George Jipa a scris

@ps: ca sa trimiti notificari prin FCM (fostul GCM) ai nevoie si de token-urile (unice) generate de FCM pt fiecare device (care se aboneaza la respectivul sender). Flow-ul este urmatorul: mesaj + lista de tokens => FCM => mesaj trimis catre fiecare token din lista primita. Deci… nu este de ajuns doar sa te joci cu credentialele pe local, ci trebuie sa ai si token-urile din productie.
Numai ei stiu cu adevarat ce s-a intamplat, iar daca nu si-au dat seama pana acum… cine stie la ce se mai pot astepta.

Adaugă un comentariurăspuns pentru

Link-urile în context sunt binevenite. Comentariile fără nume/email valid sunt șterse.
PS: Comentariul NU este editabil.

Site-ul blog.iamntz.com utilizează cookie-uri. Continuarea navigării presupune acceptarea lor. Mai multe informații.

windows apple dropbox facebook twitter
windows apple dropbox facebook twitter