YouTube закрыл уязвимость, которая позволяла любому пользователю произвольно удалять чужие видеоролики с видеохостинга. Специалисты отдела безопасности отреагировали на баг-репорт исключительно быстро, понимая, какой хаос может возникнуть в том случае, если информация попадёт в паблик. В считанные минуты с YouTube исчезли бы десятки тысяч самых популярных видеороликов с котиками, Джастином Бибером, Gangnam Style и другими хитами. Пожалуй, это тот случай, когда кое-кто может и пожалеть, что уязвимость закрыли так быстро.

Автор эксплоита Камиль Хисматулин из Казани рассказывает, что постоянно участвует в программе поиска уязвимостей Google. На этот раз он выбрал в качестве цели YouTube Creator Studio и рассмотрел, как работает система live_events/broadcasting, в поисках уязвимостей CSRF или XSS. Неожиданно он обнаружил логический баг, который давал возможность удалить любое видео с YouTube простым запросом:

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1

event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

В ответ приходит:

{
  "success": 1
}

И файла больше нет!

PoC-видео с демонстрацией уязвимости.

Несмотря на субботнее утро, отдел безопасности Google мгновенно исправил уязвимость, а российскому хакеру назначили вознаграждение $5000. «Видеоролики Бибера не пострадали», — шутит Камиль в своём блоге.



3 комментария

  1. 01.04.2015 at 15:22

    С праздником, редакция. :)))))

  2. 01.04.2015 at 17:51

  3. 07.04.2015 at 10:49

    Блин ну и чушь))) А народ повелся)

Оставить мнение