Немецкое IT-агентство Vulnerability Lab сообщило, что наличие определенной комбинации багов в коде платформы Facebook предоставляло злоумышленникам возможность удаления любых пользовательских комментариев. Уязвимость впервые была выявлена независимым ливанским исследователем Джо Балхисом, который смог использовать брешь в проверке сессии и произвести против Facebook CSRF-атаку, в результате которой были удалены некоторые комментарии. При этом Балхис пояснил, что для удаления произвольного комментария хакеру не требуется доступ к пользовательскому аккаунту жертвы, а сама уязвимость затрагивала даже учетные записи, имеющие повышенный уровень конфиденциальности. Чтобы произвести кибератаку, злоумышленнику необходимо написать любой комментарий в соцсети, потом удалить его, перехватив запрос на удаление к серверу. Затем в перехваченном запросе подменить значения параметров в legacy_id и comment_id. Потом хакеру необходимо «лайкнуть» тот комментарий, который он наметил на удаление и перехватить запрос, из которого злоумышленник выяснит значения параметров id комментария, намеченного им к удалению. В заключение злоумышленнику нужно отправить запрос на удаление требуемого комментария с измененными id-параметрами. Как итог: комментарий другого пользователя удален. Кроме того, отметил исследователь, при желании можно написать скрипт, который будет заниматься удалением автоматически. Напоследок отметим, что за обнаружение этой уязвимости Facebook выплатил ливанскому эксперту $12 500. Сайт дня: Хотите заказать хостинг на Украине? Советую обратить внимание на хостинг сайтов от CityDomain.com.ua. Он быстрый и надежный, да и работает с 2004 года. |
Комментарии:
- Вышла прошивка 4.91 EVILNAT CF...
от ertetr - Вышла прошивка 4.91 EVILNAT CF...
Хоть кто-то из хакер...
от Олдфаг - Sony выпустила обновление ПО д...
Боря, учи матчасть -...
от FuZZeX - Хакеры взломали PlayStation Po...
толк от этого девайс...
от Berserk1 - Sony выпустила обновление ПО д...
А не прокатит ли это...
от Борис96 - Вышла прошивка 4.91 EVILNAT CF...
Я смотрю, старушку П...
от Джонни Браво - TheFloW покажет новый эксплоит...
Купил новую PS4 Slim...
от Марк - Как обстоит дело со взломом PS...
Ждём ещё 5 лет, чека...
от Марк - Запуск бэкапов PS5 игр на взло...
Кажется, что-то назр...
от Фома - TheFloW покажет новый эксплоит...
Жду верю надеюсь ,си...
от Demi
Самые полезные комментаторы:
-
JBreaker1069 ( +184/-11 )
-
Berserk150 ( +88/-2 )
-
Джонни Браво171 ( +87/-2 )
-
Ингвар33 ( +28/-3 )
-
Сергей448 ( +27/-6 )
Голосования
Уязвимость Facebook позволяет удалять комментарии других пользователей |
26.02.2015 18:29