[Перевод] У нас была возможность удалить любой пост с LinkedIn
Мы столкнулись на LinkedIn с проблемой безопасности, которая позволяла удалить любой пост с профиля частного лица или компании. Обнаружив эту уязвимость, мы немедленно сообщили в отдел безопасности компании, что в защите есть брешь, через программу Bug Bounty.
Воспользовавшись этим багом, злоумышленники могли отправить особым образом составленный запрос на сервера LinkedIn, и это привело бы к удалению того или иного поста с платформы. Если бы эту проблему не решили, уязвимость можно было бы использовать для устранения важных сведений о лицах или компаниях, что нанесло бы последним серьезный урон.
Получив сообщение о баге, отдел безопасности LinkedIn тут же стал разбираться в ситуации. Они предприняли необходимые шаги, чтобы устранить уязвимость, и предотвратили возможные инциденты в будущем.
Запрос с уязвимостью:
POST /mwlite/feed/deletePost/?csrfToken=ajax:6083619284478736796 HTTP/1.1
Host: www.linkedin.com
{«objectUrn»: «urn: li: activity:6390481093803499520»}
Действия в ходе сессии на Burp Suite
Мы перечислили следующие шаги, чтобы воссоздать картину уязвимости:
- При помощи Burp Suite записать запрос с уязвимостью из своей собственной сессии.
- В запросе с уязвимостью поменять содержимое «objectUrn» на идентификатор поста из активности пользователя.
- Запустить измененный запрос заново в том же Burp Suite. Пост будет удален с аккаунта жертвы.
Действуя таким образом, злоумышленники могли воспользоваться уязвимостью для удаления любого поста с любого аккаунта, даже не пройдя должным образом авторизацию.
Одиннадцатого апреля 2023 года проблема получила публичное освещение, а нам выплатили десять тысяч долларов по программе Bug Bounty. Дополнительная информация о баге опубликована здесь.
