freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

DROPBOX随时可能被黑掉!
2013-09-06 09:00:33


安全专家最近发布了一个安全通报,该通报向中明示了他们是如何绕过基于云存储的DROPBOX的安全特性从而最终获得存取用户私人文件的过程。


Openwall的Dhiru Kholia和CodePainters的Przemysław Wegrzyn这样说道:虽然该网站有超过100万的用户在使用,可其在安全性至始至终就没有得到过评估分析。


他们说,他们有个目标就是想要dropbox成为一个开源系统,这样意味着我们每个人都可以去读它的代码,从中找安全问题来。(好想法啊!)


专家说,他们依然可以获得系统未授权的用户私人文件。事实上,在1年前他们黑过DROPBOX以后, DROPBOX也都加强过安全特性了。(这安全是咋做的?)


DROPBOX所做的安全体系其目的本身是冲着企业用户去的,这包括数据加密和双因素认证在里面,坑爹的是,还是被Kholia和Wegrzyn绕过去了。


他们是如何做到的呢?起初,他们反编译了DROPBOX在用户客户端的软件,该软件是PYTHON写的。 尽管DROPBOX已经想方设法防止PYTHON被逆向。


从商业角度上来考虑,这就意味着需要玩python的云服务的,同时也有过类似安全防护的服务商们,是否也会遭遇同样的安全风险?


专家研究还发现,DROPBOX使用双因素认证仅仅是为了阻止对网站的未授权访问。“在DROPBOX的客户端里可以看出来,他们的客户端API是不支持双因素认证的。而仅仅是通过一个主机ID值来获得目标用户的存取空间的访问。


可就在此前,DROPBOX还发表过一个声明,说不相信会有人可以在客户端上面找到任何漏洞! (自己打耳光吧!)


Kholia和Wegrzyn希望大家都来帮助DROPBOX建立一个安全的系统,也希望DROPBOX可以接受开源的方式来加强安全。(可能吗,拭目以待吧)

[via techtarget]

本文作者:, 转载请注明来自FreeBuf.COM

# DROPBOX
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑