// codeart.ru / Теория программирования / Ловим на живца www.free-lance.ru Форум

Ловим на живца www.free-lance.ru rss подписка

Автор: Evgeniy Sergeev

Быть хозяином своей судьбы – мечта бесспорно захватывающая и достойная. Каждый фрилансер любит свою работу как раз за возможность выбирать. Мы выбираем, где и с кем работать, какую цену установить и в какие сроки завершить заказ. И чем больше заказов успешно выполнено сегодня, тем больше предложений поступит завтра. Но одновременно с этим мы зависим от собственного имиджа и мнения других людей. Даже очень хороший профессионал может быть опорочен одним нелестным отзывом. Вы возразите, кто станете слушать какого-то выскочку, решившего оговорить коллегу из корыстных побуждений. Правда такова, что используя некоторые приемы возможно оставить Вам отзыв от имени любого человека. Не верите? Тогда, как говорится, следите за моими руками.

Конечно, любой трюк может протекать только при определенных условиях, поэтому сразу оговорюсь, метод, описанный ниже, работает в случаях, когда фрилансер:

  1. Зарегистрировался на сайте;
  2. Щелкнул по нашей ссылке.

А теперь представьте себе ситуацию: Вам приходит личное письмо с предложением работы, цена Вас устраивает, сроки приемлемые, а в конце ссылочка — мол более детальную информацию можно получить тут. Задумаетесь ли Вы хоть на секунду, прежде чем посмотреть, что же там за дополнительная информация? Один клик мышью и все выше перечисленные условия выполнены.

Почему же такое простое действие как переход по ссылке может нести в себе потенциальную угрозу?

Давайте разберемся, что происходит, когда Вы регистрируетесь на сайте www.freelance.ru. Во-первых, после проверки подлинности логина и пароля, для Вас на стороне сервера создается сессия, она нужна для того, чтобы после авторизации не требовалось повторно вводить регистрационную информацию. Во-вторых, идентификатор вновь созданной сессии передается Вашему браузеру, и пока Вы перемещаетесь в пределах freelancе этот идентификатор каждый раз передается серверу, для нахождения Вашей сессии. Естественно когда Вы переходите по другой (внешней по отношению к freelance) ссылке, идентификатор не передается. А без него ничего не получится. Нам, в общем-то, все равно, главное Ваш браузер знает этот идентификатор и может передать его в нужное нам место, то есть на freelance. Обратим внимание на процесс добавления отзыва, по сути – это заполнения обычной веб формы и отсылка ее на определенный адрес, естественно действует это, только для зарегистрированных пользователей или, другими словами, для тех, кто знает Ваш идентификатор сессии. Значит, все, что нам нужно сделать – это убедить Ваш браузер, что Вы заполнили форму и отослали ее на freelance. Для этого смело, используем JavaScript. Стоп! А вдруг у Вас не включена поддержка скриптов? Такое могло бы случиться, но вспомните что freelance на половину (Да! Да! именно только на половину) следует технологиям Web 2.0, проще говоря использует AJAX, а последний просто не работает без JavaScript-а. Нам осталось только замести следы, чтобы пользователь не догадался, что от его имени совершенное действие о котором он не знал. Вот и все. Как видите все более чем просто.

Почему же подобный трюк стал возможен? Как я уже много раз говорил, программирование – это весьма сложное занятие, сколько-нибудь крупная программа требует огромное количество времени для тестирования и отладки. Естественно бюджет проекта ограничен, естественно самое легкое сэкономить на тестировании, ведь, кажется, что это не работа, а у профессионала не может быть ошибок. Результат такого заблуждения – уязвимости.

Как избежать подобной ловушки?

В первую очередь меры для устранения этой уязвимости, должна предпринять администрация сайта, но, понимая, что этот процесс может затянуться, я дам один совет. Прежде чем щелкать мышкой, осуществите выход из своего аккаунта (предварительно, естественно, сохранив ссылку). Я понимаю, что это очень неудобно и большинство не станет следовать этому совету. Поэтому остается надеяться на оперативность администрации.

P.S.

Хочу напомнить, что накручивание рейтинга подобным образом запрещается правилами ресурса www.freelance.ru. А также я специально не привожу детальную информацию, позволяющую провести данный вид атаки без специальных знаний.

  1. Мои любимые заметки
  1. вай вай вай, не харошо (:
    кста я тут на днях пару сайто сломал, случайно, даже не желая этого.

  2. Хе-Хе… Вот я и говорю! Жить становится страшно!!! :-)

  3. Большенство сайтов ломается к сожалению…
    Пример. На работе. Говорю начальнику — «Вот так как Вы хотите делать нельзя, сломают!». На что получаю ответ ну вот у сайта ххх.ххх.хх так сделано и я хочу, что бы у нас так было…
    Аргументы типа того, что их взлом это их взлом, а когда нас сломают это нас сломают просто не действуют…

  4. Ловим на живца http://www.free-lance.su

  5. Вот тоже строю. Строю не поверите уже не один год. Только с не найти ни кого кто мог бы помочь. Одним словом мне необходим разработчик и достаточно срочно, а на free-lance.ru мне ни как не получается ни кого найти.
    Может быть заинтересуетесь 2500 usd.

  6. Поразительно!
    А может это специально сделано на фрилансе? Очень невероятно что такую дырку смогли не заметить. Я может не понимаю чего.
    Меняйте срочно начальника, а то хлопот не оберетесь.

  7. Это довольно старая заметка, может быть с тех пор уже что-то изменилось! :-)

  8. Да, блин!
    ну и просто я оволосился… теперь буду более внимательным и стану на число смотреть.
    Ну так что же с начальником? Избавился он от вас или вы от него?
    Или сайт по своей схеме сделали?

  9. Да, там все ок! :-)

Leave a Reply

« »