Telegraph - источник дыр

В процессе исследования выяснилось, уязвимость присутствует на сервисе Telegraph, разработанном в 2016 году командой мессенджера Telegram. Проанализировав структуру HTTP-запроса, отправляемого с ПК пользователя на сервер Telegraph, эксперт пришел к выводу, что для изменения любой статьи на портале достаточно знать ее идентификатор. При это получить идентификатор можно из HTML-кода соответствующей страницы.

Для защиты от атак данного типа обычно используется специальный токен (случайный набор байт, генерируется сервером). В момент перехода по внешней ссылке осуществляется сравнение токенов сервера и пользователя. Если токены не совпадают, операция не выполняется. На сервисе Telegraph такие механизмы защиты не применяются.

Подключение платных ботов

Другую уязвимость удалось обнаружить во время тестирования стороннего ресурса, который использует домен t.me для создания коротких ссылок. Напомним, домен принадлежит Telegram, используется для формирования коротких ссылок на группы, каналы и учетные записи пользователей. Тестируемый сторонний ресурс предлагал пользователям советы по инвестициям в различные криптовалюты (платные). Один из вариантов получения таких рекомендаций – Telegram-бот.

Для подключения бота использовалась ссылка формата t.me/Another_bot?start=xxxx, где xxxx последовательность, связанная с аккаунтом на сайте.

Сформировав запрос Google Dork Query вида site:t.me inurl:Another_bot?start=, специалист обнаружил публично доступный персональный код платного подписчика на интернет-ресурсе о криптовалютах.

Напомним, запросы Google Dork Query позволяют найти через поисковую систему публичные данные, скрытые от посторонних. Был сделан вывод, что администраторы домена t.me не обеспечили запрет на индексацию личных данных – файл robots.txt отсутствует.

Автор исследования отметил, что данная уязвимость позволяет получить доступ к закрытым группам при помощи запросов формата site:t.me join.

Эксперт отметил, что неоднократно связывался с разработчиками популярного сервиса, доказывая существование уязвимостей. В итоге компания признала проблему, однако на момент публикации исправлена только часть проблем.