当前位置: > >为何Facebook这个严重漏洞,让骇客能任意删除用户影片

为何Facebook这个严重漏洞,让骇客能任意删除用户影片

03-12,IT资讯为何Facebook这个严重漏洞,让骇客能任意删除用户影片最新消息报导,口袋科技网(http://www.juren5.com)IT资讯
图片来源: 

Dan Melamed

资安研究人员Dan Melamed于23日在部落格揭露,Facebook有个严重的原始码漏洞,允许骇客不用取得特定的身分权限或是身分验证,就能利用该漏洞删除Facebook上的任何影片,还可以停用Facebook影片下面的评论。目前,Facebook已经对外公开此漏洞,并且发放回报漏洞奖金10,000美元(约新台币31万元)给Dan Melamed。

Dan Melamed在2016年6月就发现Facebook上存有此漏洞,并且上传影片通报Facebook。在通报影片里面,骇客可以建立一个Facebook的活动页,上传影片至Facebook。然后,拦截Facebook发布影片的请求,Facebook会出现「你的影片现在正处理中。我们将在处理完成之后通知你」的请求视窗。该视窗原始码会呈现个人资料ID(av=<Profile ID>)跟刚上传影片的ID(=<Video ID>)。

接着,骇客利用刚上传影片的ID,替换成用户上传影片ID,用户的影片就会出现骇客建立的活动页上面,成为骇客上传的影片。最后,骇客只要在活动页删除用户的影片,就一併删除用户上传至Facebook上的影片。骇客只要花不到5分钟的时间,就能够删除任何一个上传Facebook的影片。除此之外,骇客也可以利用此方法,停用用户影片下的评论。

Dan Melamed在去年6月就回报Facebook存在此漏洞,直到今年1月23日才对外公布此漏洞。此外,资安研究人员Pranan Hivarekar也在去年发现,骇客可以任意删除Facebook影片另一个漏洞。Facebook已经在去年6月修补此漏洞,也发放回报漏洞奖金给Pranan Hivarekar。
?

?

Dan Melamed示範如何利用Facebook漏洞,删除用户上船的影片。影片来源:Dan Melamed

?

?

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >