Facebook выплатила 12,5 тыс долларов за найденную уязвимость
Серьезная уязвимость была обнаружена недавно индийским IT-специалистом Арулом Кумаром, который нашел в коде Facebook Support Dashboard ошибку, позволяющую удалять фотографии, загруженные другими пользователями сети. Кумар сообщил, что данная уязвимость может быть использована абсолютно в любом браузере, хотя проще и удобнее с ней работать, используя различные мобильные платформы.
Уязвимость использует возможность Support Dashboard отправлять запросы на удаление снимков. Так как такие запросы могут исходить не только от администраторов, но и от обычных пользователей, то дальнейшее исследование оказалось делом техники. Как оказалось, с помощью нехитрых действий можно заменить значение Photo_id и Profile_id в тексте запроса. Таким образом, будет изменена команда на удаление фотографий автора запроса, который теперь может удалять любые фото, загруженные пользователями Facebook. Отметим, что в Facebook быстро отреагировали на сообщение об ошибке, признали ее критической и выплатили Кумару вознаграждение в размере 12,5 тыс долларов.
© supreme2