События

Исследователь нашел баг, позволявший удалить любой пост на платформе Medium

Исследователь нашел баг, позволявший удалить любой пост на платформе Medium

Независимый исследователь и пентестер Аллан Джей Даманхаг (Allan Jay Dumanhug) рассказал в своем блоге, что в июне 2016 года его удалось обнаружить баг в платформе Medium. «Я перебирал различные возможности и тестовые сценарии, при помощи которых можно было бы удалить историю любого пользователя. К сожалению, в итоге я обнаружил опасный баг», — рассказывает исследователь.

Проблема связана с функцией Request Story, ведь платформа позволяет любому пользователю создать собственную публикацию, а затем запросить у другого пользователя разрешение на добавление к тексту его истории. Ее автор должен будет ответить на запрос и разрешить это действие. Каждая публикация в Medium обладает уникальным идентификационным номером, 12 символов длиной.

1

Исследователь обнаружил, что во время редактирования собственной публикации он может добавить к ней другую свою публикацию, и при этом удается перехватить HTTP-запрос и подменить ID на ID чужого поста.

2

Исходный HTTP-запрос

Так как чужая история после этого добавляется к публикации (без ведома автора), после этого появляется возможность отредактировать или удалить ее вовсе.

3

Обновленная версия запроса

Даманхаг пишет, что вместо атаки на блог президента Барака Обамы, он все-таки решил сообщить об уязвимости разработчикам Medium. В итоге исследователю выплатили вознаграждение в размере $350, а уязвимость в настоящий момент уже была устранена.

Фото: Techcrunch

Автор: Сергей Куприянов
12.07.2016 (19:10)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.