: UEFIMA.RU: Уязвимость касается одной из функций мобильной версии Facebook. Эксплуатация этой уязвимости позволяла удалить любое фото из соцсети. Независимым индийским исследователем, Арулом Кумаром, вскрыта опасная брешь в Facebook, позволяющая скрытно от владельцев удалить любые, залитые ими в соцсеть фото. В итоге, за свое усердие в деле поиска уязвимостей Кумар получил от соцсети $12500. Вскрытая индийским программистом брешь касалась Support Dashboard - функции мобильного клиента Facebook, относящейся к работе пользователя с учетной записью и возможностью через нее удаления одновременно нескольких снимков из пользовательских альбомов.
Проведя анализ механизма работы функции Кумар обнаружил, что при удалении снимка соцсетью автоматически создается специальная гиперссылка, служащая для подтверждения запроса на удаление фото.
Далее хакер выяснил, что в ссылке содержатся идентификаторы как удаляемой фотографии, так и пользователя. Затем исследователю осталось только заменить автоматически определенные параметры в ссылке на параметры стороннего пользователя. После чего удалить снимки этого стороннего пользователя.
Поначалу программистам Facebook не удалось провести такую атаку, поэтому они запросили более подробную информацию у Кумара. В результате выяснилось, что Кумаром использовалась демонстрационная версия учетной записи. Как доказательство индиец предоставил специалистам соцсети видеоролик, в котором показано, как сам хакер удаляет снимки из альбома Марка Цукерберга
Опубликовано 2013-09-06.
