Новости Software

Баг в Facebook позволял удалить из социальной сети любое видео

Исследователь в сфере безопасности Ден Меламед (Dan Melamed) обнаружил способ удалить любое видео в Facebook, сообщил об этом компании и получил от неё $10 тысяч. С тех пор метод больше не работает, но дыра в системе присутствовала довольно долгое время, поскольку исследователь сообщил о ней компании ещё 29 июня 2016 года, а получил свою награду всего через несколько недель после этого. Facebook подтвердила сайту TechCrunch, что баг был исправлен в июле.

Метод Меламеда невероятно прост и задействует часть URL-адреса, которую он смог перехватить в процессе загрузки в Facebook своего видеоролика на собственноручно созданную страницу. Исследователь перехватил запрос на публикацию видео и взял следующий параметр: composer_unpublished_photo[0]=<Video ID>.

Элемент Video ID отвечает за идентификацию кода загружаемого видео. Меламед мог легко заменить элемент на идентификатор любого другого ролика, присутствовавшего в социальной сети, и при этом продолжить загрузку своего видеофайла. Это означает, что в процессе загрузки Меламед мог изменить параметры и отправить другое видео на серверы Facebook. При смене идентификатора сервис выдавал ошибку, но ролик загружался успешно.

После этого исследователь получал полный контроль над загруженным контентом, хотя это был и не его контент. Он мог делать с видео всё то, что мог бы делать со своим роликом — в частности, отключать комментарии или даже удалить запись.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥