Indijski haker Arul Kumar je ovih dana poslao upozorenje Facebook-u o opasnom bugu u mobilnoj verziji Support Dashboarda koji omogućava napadačima brisanje slika sa korisničkih profila.
Za takvu akciju napadaču su potrebna dva Facebook naloga. Sa jednog se šalje zahtev za brisanje slike, ali kako slika ne krši nijedno pravo, osoba koja poseduje sliku dobija samo obavieštenje i zahtev da sama pobriše sliku.
Haker je potom otkrio kako može promieniti URL zahtjeva za brisanje, te dodati photo_id i profile_id slike bilo kojeg drugog korisnika.
Drugim rečima, jedan hakerski nalog šalje zahtev za brisanje slike na drugi nalog koji ne sadrži photo_id i profile_id slike koja se nalazi na njemu, već one sa naloga bilo kojeg drugog korisnika.
Nakon što je Facebook primio Kumarovo obaveštenje, nije uspeo reprodukovati grešku, pa im je Indijac poslao video sa detaljnim pojašnjenjem metode, nakon čega su shvatili o čemu se radi i zakrpili bug u roku od jednog dana.
Potom su se zahvalili Kumaru i odlučili ga nagraditi sa 12.500 dolara.
Na svom blogu, izneo je detaljan opis buga.
Facebook imao bug koji je omogućavao brisanje slika
15:07
nema komentara
Postavi komentar
Vaš komentar: