Реклама
Облако тегов
- ГЭС, Россию, САУ боевиков, США, Сирия, армия, артиллерии, были, газ, для, его, за, из, как, марс, на, на ВСУ по ДНР этом, на Сирии, на кто тех, на что США по для, на что из по этом, на что по США России, на что по для будет, на что по для из, на что по из США, не, не что для как от, не что по это как, нефтегаз, нефть, по, российского, территории, том, тэк, что, что заявил, что не том, что не это по как, это
Показать все теги
Популярное
-
Пентагон обеспокоен пророссийским курсом в Нигере — СNN
Американские чиновники обеспокоены, что в связи с -
Мощные героические кадры: Неуязвимые танки 5-й бригады получая удар за ударом рвутся вперёд, прорывая оборону врага под Донецком (ВИДЕО)
Наши бойцы опять прорвали оборону в Георгиевке -
Люди ждут Россию, а ВСУ прячутся у домов за спинами мирных жителей — CNN внезапно показал правду о ситуации в Часов Яре (ВИДЕО)
Часов Яр в ближайшее время повторит судьбу -
«Киевский неонацистский режим задумал ряд преступных акций во время выборов» — Путин сделал ряд важных заявлений (ВИДЕО)
Безнаказанными удары противника не останутся. -
Переход на российское законодательство на новых территориях происходит непросто, — общественница из ДНР (ФОТО, ВИДЕО)
Переходный период не самый лёгкий, хоть он и
В виде календаря
В виде списка
Архив записей
0
Специалист по безопасности Пранав Хиварекар обнаружил уязвимость в социальной сети Facebook, которая позволяла удалить абсолютно любое видео. Такой баг со стороны разработчиков появился в результате обновления, которое дает возможность удалить абсолютно любое видео, загруженное в социальную сеть.
Хиварекар в своем блоге описал всю структуру архитектуры найденной ошибки. Оказалось, что уязвимость была в самом коде, и появилась в результате возможности прикреплять видео к комментариям. Данное обновление вышло в начале июня, именно тогда блогер и нашел проблему. Любой, кто прочитал его статью, в дальнейшем мог запросто удалять видеозаписи знаменитостей, отмечают эксперты.
Как оказалось, вставка видеоконтента происходит, основываясь лишь на данных идентификатора. За счет этого, в адресной строке достаточно было заменить ID на любую видеозапись, а затем, после публикации комментария, удалить его. После такого действия само видео, которое было прикреплено, также исчезнет со страницы автора контента.
Проблема заключалась в том, что структура кода не проверяла идентификатор владельца контента, считая, что если человек прикрепляет, то это его видеозапись. Блогер отмечает, что такой баг находится в логике действий системы, не являясь при этом уязвимостью типа RCE, SSRF. Обновление вышло 11 июня 2016 года и только спустя два дня Хиварекар нашел ошибку. Буквально за 23 минуты была исправлена ошибка, а спустя 11 часов вышел полноценный билд с исправлением других ошибок, найденных пользователями.
Смотрите также:
В Facebook обнаружили уязвимость, позволяющая удалить любое видео
- Опубликовал:
- Дата: 28-06-2016, 08:30
- Категория: Information technology (IT) » В Facebook обнаружили уязвимость, позволяющая удалить любое видео
Специалист по безопасности Пранав Хиварекар обнаружил уязвимость в социальной сети Facebook, которая позволяла удалить абсолютно любое видео. Такой баг со стороны разработчиков появился в результате обновления, которое дает возможность удалить абсолютно любое видео, загруженное в социальную сеть.
Хиварекар в своем блоге описал всю структуру архитектуры найденной ошибки. Оказалось, что уязвимость была в самом коде, и появилась в результате возможности прикреплять видео к комментариям. Данное обновление вышло в начале июня, именно тогда блогер и нашел проблему. Любой, кто прочитал его статью, в дальнейшем мог запросто удалять видеозаписи знаменитостей, отмечают эксперты.
Как оказалось, вставка видеоконтента происходит, основываясь лишь на данных идентификатора. За счет этого, в адресной строке достаточно было заменить ID на любую видеозапись, а затем, после публикации комментария, удалить его. После такого действия само видео, которое было прикреплено, также исчезнет со страницы автора контента.
Проблема заключалась в том, что структура кода не проверяла идентификатор владельца контента, считая, что если человек прикрепляет, то это его видеозапись. Блогер отмечает, что такой баг находится в логике действий системы, не являясь при этом уязвимостью типа RCE, SSRF. Обновление вышло 11 июня 2016 года и только спустя два дня Хиварекар нашел ошибку. Буквально за 23 минуты была исправлена ошибка, а спустя 11 часов вышел полноценный билд с исправлением других ошибок, найденных пользователями.
Смотрите также:
Также рекомендуем:
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.