Xakep #305. Многошаговые SQL-инъекции
Издание TorrentFreak сообщило о баге, который был обнаружен в коде популярной платформы Crunchyroll.
Crunchyroll является американским дистрибьютором, издателем и международным интернет-сообществом, которое в первую очередь сосредоточено на потоковом вещании продукции восточной Азии, включая аниме, мангу, дорамы, музыку, игры и так далее. Платформой пользуются более 20 млн человек по всему миру, что делает Crunchyroll крупнейшим стриминговым сервисом для контента такого рода.
TorrentFreak сообщает, что авторы появившейся недавно «пиратской» метапоисковой системы StreamCR нашли способ транслировать контент прямо с серверов Crunchyroll. Как рассказали журналистам сами «пираты», дело в уязвимости, обнаруженной ими в коде Crunchyroll. В сущности, StreamCR использует активный аккаунт Crunchyroll для обнаружения потокового вещания, а затем встраивает его на свой сайт.
Разработчики «пиратского» поисковика поясняют, что через их сайт пользователям доступна вся библиотека сервиса, так как они «работают» с американским сервером, на котором нет никаких региональных ограничений. Также операторы StreamCR рассказали журналистам, что эксплоит для найденной бреши они написал сами и, конечно, не надеются, что он будет работать вечно:
«Мы ожидаем, что они исправят эту проблему, почему бы и нет? А пока наш сервис демонстрирует, насколько уязвима Crunchyroll в настоящий момент».
В будущем операторы сервиса хотят сделать StreamCR одним из лидирующих поисковиков по «пиратскому» стриминговому контенту. Уже сейчас StreamCR индексирует не только Crunchyroll, но и такие популярные «пиратские» ресурсы, как YesMovies, Gomovies и 9anime.
Представители Crunchyroll пока никак не прокомментировали ситуацию, а контент действительно свободно доступен через StreamCR.