События

Facebook исправила уязвимость, позволяющую удалить чужое видео

Facebook исправила уязвимость, позволяющую удалить чужое видео

Facebook устранила уязвимость, позволявшую атакующим удалить любое опубликованное в соцсети видео без разрешения и авторизации. Проблема была обнаружена исследователем безопасности Дэном Меламедом (Dan Melamed) в июне прошлого года.

Эксперт выяснил, что легко может не только удалять видео на Facebook, но и отключать комментарии к ним. Данная уязвимость схожа с ошибкой, которую примерно в тот же период выявил другой специалист по безопасности, Пранав Хиварекар (Pranav Hivarekar). Как обнаружил Хиварекар, ошибка в функции Facebook, позволяющей комментировать сообщения с помощью видеозаписей, приводила к тому, что вместе с комментарием удалялось и само видео.

В свою очередь, Меламед обнаружил способ добавлять видео в мероприятие. Соответственно, при удалении мероприятия, удаляется и видео. С целью эксплуатации уязвимости, исследователь создал публичную страницу в Facebook и загрузил видео в раздел «Отзывы». Далее при помощи отладочного прокси Fiddler эксперт перехватил POST-запрос и заменил значение Video ID загруженного видео на идентификатор другого ролика, опубликованного в соцсети. Хотя система Facebook ответила сообщением об ошибке This content is no longer available («Данный контент больше не доступен»), видео оказалось успешно опубликовано. Позже Меламед удалил страницу, что привело к удалению добавленного видео.

В качестве доказательства исследователь опубликовал видео с демонстрацией атаки.

Меламед проинформировал команду безопасности Facebook об уязвимости. В начале года проблема была устранена, а исследователь получил вознаграждение в размере $10 тыс.

Автор: Сергей Куприянов
24.01.2017 (16:18)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.