最近、メガフォンのモバイルインターネット経由でモバイルデバイスから
https://szfsg.megafon.ru/ps/scc/mobile/のページにアクセスすると、パスワードなしで「Megafon Service-Guide North-West」にアクセスできることを発見しました(他の地域では、同様のリンクが存在する可能性があります)。
Megafonは、サイトにアクセスしてそのような機会を与えているのはあなたであることを「知っています」。
同じサービスガイドでこの機能を禁止するには、「自動ログインの管理」という設定がありますが、機能しません。 つまり 彼女は禁止された立場にありますが、実際には入場が許可されています。
その結果、このチェックマークに触れたことがなく、「禁止」位置にあることを確認しましたが、そのようなエントリは許可されました。
これによりどのようなセキュリティ上の問題が発生しますか?
1.インターネットを他のユーザーに配布する場合、すべてのユーザーが個人アカウントを管理するためのアクセス権を持ちます。
2.インターネットを配布したすべてのデバイスで実行されるすべてのソフトウェアは、同じアクセス権を持ちます。 ここでは、理解できない(トロイの木馬)ソフトウェアを起動することは何もないと主張できますが、マルウェアから保護する主な方法の1つは特権を区別することです。 ここで、システム内の特権がゼロのソフトウェアは、個人アカウントにアクセスできることがわかります。
3. XSS脆弱性の質問-調査されていません。
はい、メガホン自身は危険を理解しているようです。 「マイアカウント」の新しいバージョン(このような脆弱性はありません)では、警告がハングします。
2週間前に、この問題をサポートに報告しましたが、私に応えて次のようになりました。
120文字のパスワード(
ここで推奨)は、電話で口述するのにあまり便利ではなく、パスワードは一般にここでは必要ないことを考慮して、私はパスワードなしで理解するよう求めて新しい訴えをしました。 しかし、彼らは標準的な返信で私に答えた。
インターネット上の
投稿も見つかりました。これは、この問題が長い間存在していたこと、または回帰していることを示しています。
Habrで書く時間だと思いました。
たぶん私の一人がそのような問題を抱えているのでしょうか? Toaster
に関する質問 -1人が応答し、問題を確認しました。
UPD :メガホンはパスワードなしの入力
に関する問題を
修正しました 。 電話で確認しました。実際、チェックマークは「禁止」モードのままであり、禁止は実際に機能します。パスワードなしでログインすることはできません。 ビーバーは常に勝ちます!