Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Специалист компании SearchPilot, Том Энтони (Tom Anthony) обнаружил, что пароль от конференций Zoom можно было подобрать при помощи обычного брутфорса.
Дело в том, что начиная с апреля текущего года Zoom защищает все конференции обязательным шестизначным числовым паролем. Такую меру защиты компания ввела из-за так называемого Zoom-Bombing’а. До ввода этой меры третьи лица частенько присоединялись к видеоконференциям Zoom (онлайн-урокам, деловым встречам и так далее), с целью сорвать встречу или просто пошутить. Зачастую потом записи таких пранков появлялись и распространялись в социальных сетях.
Энтони объясняет, что он обнаружил CSRF-баг, отсутствие каких-либо ограничений на количество попыток ввода пароля, а также на скорость перебора. В итоге оказалось, что нужно лишь перебрать миллиона возможных комбинаций (от 000000 до 999999). При помощи 4-5 облачных серверов это можно было сделать за считанные минуты через веб-клиент (и адрес формата https://zoom.us/j/MEETING_ID), непрерывно отправляя HTTP-запросы.
Также специалист пишет, что такую же процедуру можно было повторить и для запланированных конференций, для которых имеется возможность поменять пароль по умолчанию на более длинный буквенно-цифровой вариант. В данном случае можно было быстро перебрать 10 000 000 самых популярных паролей.
Исследователь обнаружил проблему еще в 1 апреля 2020 года, вскоре после ввода парольной защиты в строй. Он уведомил об ошибке инженеров Zoom, приложив к своему отчету PoC-эксплоит написанный на Python. Инструмент специалиста мог взломать шестизначный пароль примерно за 25 минут с одного компьютера. Если же подключить к делу большее количество машин или мощности облачных серверов, время взлома сокращалось до пары минут. Для исправления бага разработчики были вынуждены временно отключить веб-клиент Zoom, и уже 9 апреля устранили проблему.
|
|