Facebook исправила уязвимость, позволяющую удалить чужое видео


 |  ❤ 341  |  ☻ 0
Категория: Безопасность
  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(0 голосов, в среднем: 0 из 5)

Проэксплуатировав уязвимость, атакующие могли удалить любое видео без разрешения и авторизации.

Facebook устранила уязвимость, позволявшую атакующим удалить любое опубликованное в соцсети видео без разрешения и авторизации. Проблема была обнаружена исследователем безопасности Дэном Меламедом (Dan Melamed) в июне прошлого года.

Эксперт выяснил, что легко может не только удалять видео на Facebook, но и отключать комментарии к ним. Данная уязвимость схожа с ошибкой, которую примерно в тот же период выявил другой специалист по безопасности, Пранав Хиварекар (Pranav Hivarekar). Как обнаружил Хиварекар, ошибка в функции Facebook, позволяющей комментировать сообщения с помощью видеозаписей, приводила к тому, что вместе с комментарием удалялось и само видео.

В свою очередь, Меламед обнаружил способ добавлять видео в мероприятие. Соответственно, при удалении мероприятия, удаляется и видео. С целью эксплуатации уязвимости, исследователь создал публичную страницу в Facebook и загрузил видео в раздел «Отзывы». Далее при помощи отладочного прокси Fiddler эксперт перехватил POST-запрос и заменил значение Video ID загруженного видео на идентификатор другого ролика, опубликованного в соцсети. Хотя система Facebook ответила сообщением об ошибке This content is no longer available («Данный контент больше не доступен»), видео оказалось успешно опубликовано. Позже Меламед удалил страницу, что привело к удалению добавленного видео.

В качестве доказательства исследователь опубликовал видео с демонстрацией атаки.

Меламед проинформировал команду безопасности Facebook об уязвимости. В начале года проблема была устранена, а исследователь получил вознаграждение в размере $10 тыс.

Читайте также:  Преступники используют новый метод распространения трояна Fareit


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

четыре × пять =

наверх