YouTube закрыл уязвимость, которая позволяла любому пользователю произвольно удалять чужие видеоролики с видеохостинга. Специалисты отдела безопасности отреагировали на баг-репорт исключительно быстро, понимая, какой хаос может возникнуть в том случае, если информация попадёт в паблик. В считанные минуты с YouTube исчезли бы десятки тысяч самых популярных видеороликов с котиками, Джастином Бибером, Gangnam Style и другими хитами. Пожалуй, это тот случай, когда кое-кто может и пожалеть, что уязвимость закрыли так быстро.

Автор эксплоита Камиль Хисматулин из Казани рассказывает, что постоянно участвует в программе поиска уязвимостей Google. На этот раз он выбрал в качестве цели YouTube Creator Studio и рассмотрел, как работает система live_events/broadcasting, в поисках уязвимостей CSRF или XSS. Неожиданно он обнаружил логический баг, который давал возможность удалить любое видео с YouTube простым запросом:

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1

event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

В ответ приходит:

{
  "success": 1
}

И файла больше нет!

PoC-видео с демонстрацией уязвимости.

Несмотря на субботнее утро, отдел безопасности Google мгновенно исправил уязвимость, а российскому хакеру назначили вознаграждение $5000. «Видеоролики Бибера не пострадали», — шутит Камиль в своём блоге.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии