Баг в Zoom позволял подобрать пароль к чужой конференции - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
31-07-2020, 20:11
Баг в Zoom позволял подобрать пароль к чужой конференции - «Новости»
Рейтинг:
Категория: Новости

Специалист компании SearchPilot, Том Энтони (Tom Anthony) обнаружил, что пароль от конференций Zoom можно было подобрать при помощи обычного брутфорса.


Дело в том, что начиная с апреля текущего года Zoom защищает все конференции обязательным шестизначным числовым паролем. Такую меру защиты компания ввела из-за так называемого Zoom-Bombing’а. До ввода этой меры третьи лица частенько присоединялись к видеоконференциям Zoom (онлайн-урокам, деловым встречам и так далее), с целью сорвать встречу или просто пошутить. Зачастую потом записи таких пранков появлялись и распространялись в социальных сетях.


Энтони объясняет, что он обнаружил CSRF-баг, отсутствие каких-либо ограничений на количество попыток ввода пароля, а также на скорость перебора. В итоге оказалось, что нужно лишь перебрать миллиона возможных комбинаций (от 000000 до 999999). При помощи 4-5 облачных серверов это можно было сделать за считанные минуты через веб-клиент (и адрес формата https://zoom.us/j/MEETING_ID), непрерывно отправляя HTTP-запросы.


Также специалист пишет, что такую же процедуру можно было повторить и для запланированных конференций, для которых имеется возможность поменять пароль по умолчанию на более длинный буквенно-цифровой вариант. В данном случае можно было быстро перебрать 10 000 000 самых популярных паролей.


Исследователь обнаружил проблему еще в 1 апреля 2020 года, вскоре после ввода парольной защиты в строй. Он уведомил об ошибке инженеров Zoom, приложив к своему отчету PoC-эксплоит написанный на Python. Инструмент специалиста мог взломать шестизначный пароль примерно за 25 минут с одного компьютера. Если же подключить к делу большее количество машин или мощности облачных серверов, время взлома сокращалось до пары минут. Для исправления бага разработчики были вынуждены временно отключить веб-клиент Zoom, и уже 9 апреля устранили проблему.


Специалист компании SearchPilot, Том Энтони (Tom Anthony) обнаружил, что пароль от конференций Zoom можно было подобрать при помощи обычного брутфорса. Дело в том, что начиная с апреля текущего года Zoom защищает все конференции обязательным шестизначным числовым паролем. Такую меру защиты компания ввела из-за так называемого Zoom-Bombing’а. До ввода этой меры третьи лица частенько присоединялись к видеоконференциям Zoom (онлайн-урокам, деловым встречам и так далее), с целью сорвать встречу или просто пошутить. Зачастую потом записи таких пранков появлялись и распространялись в социальных сетях. Энтони объясняет, что он обнаружил CSRF-баг, отсутствие каких-либо ограничений на количество попыток ввода пароля, а также на скорость перебора. В итоге оказалось, что нужно лишь перебрать миллиона возможных комбинаций (от 000000 до 999999). При помощи 4-5 облачных серверов это можно было сделать за считанные минуты через веб-клиент (и адрес формата непрерывно отправляя HTTP-запросы. Также специалист пишет, что такую же процедуру можно было повторить и для запланированных конференций, для которых имеется возможность поменять пароль по умолчанию на более длинный буквенно-цифровой вариант. В данном случае можно было быстро перебрать 10 000 000 самых популярных паролей. Исследователь обнаружил проблему еще в 1 апреля 2020 года, вскоре после ввода парольной защиты в строй. Он уведомил об ошибке инженеров Zoom, приложив к своему отчету PoC-эксплоит написанный на Python. Инструмент специалиста мог взломать шестизначный пароль примерно за 25 минут с одного компьютера. Если же подключить к делу большее количество машин или мощности облачных серверов, время взлома сокращалось до пары минут. Для исправления бага разработчики были вынуждены временно отключить веб-клиент Zoom, и уже 9 апреля устранили проблему.

Теги: CSS

Просмотров: 531
Комментариев: 0:   31-07-2020, 20:11
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: