Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Bárki képeit lehetett törölni a Facebookon

Voith Hunor, 2015. február 13. 14:41
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Nagyon komoly hibát talált egy fejlesztő, miközben a Facebook Graph API-jának lehetőségeit próbálgatta: a megfelelő adatvédelmi beállításokkal ellátott – tehát általa is megtekinthető – albumokat bármelyik felhasználónál törölni tudta, egy egyszerű API-hívással. A vállalat az értesítést követően lényegében azonnal javította a sérülékenységet.

hirdetés

A Facebook háza táján előszeretettel keresgélnek külsős fejlesztők és biztonsági szakértők hibák után, a vállalat ugyanis Bug Bounty programjának keretében tisztességes összeget szokott fizetni az újonnan felfedezett és elsőként nekik bejelentett sérülékenységekért. Az eddigi legmagasabb kifizetés 33 500 dollár volt, ezt tavaly kapta egy brazil szakember egy kritikus, a webszerver tetszőleges állományához hozzáférést lehetővé tevő rés megtalálásáért.

Response: true

Laxman Muthiyah a Graph API albumkezelésre vonatkozó részével kísérletezett, ami a fejlesztői dokumentáció szerint nem ad lehetőséget az albumok törlésére. A fejlesztő ezt ki is próbálta egy saját albumán graph explorer hozzáférési tokent használva, a művelet pedig várakozásának megfelelően nem sikerült. A hibaüzenet megfogalmazása azonban felkeltette az érdeklődését, mert abban nem az állt, hogy a törlés egyáltalán nem létező vagy minden esetben tiltott, hanem az, hogy erre a hívásra az adott alkalmazásnak nincs lehetősége.

Ez a szemantikai nyom serkentette arra, hogy tovább kutakodjon. Úgy döntött, hogy a mobilkliens hozzáférési tokenjével folytatja, mert az alkalmazásban minden albumnál adott a törlés lehetősége, így ennél az appnál a fenti példából kiindulva a siker lehetősége is fennállt. A hiba megtalálását ismertető blogbejegyzése szerint ötlete bevált, a korábbi hibaüzenet helyett immár csak a művelet sikerességét igazoló válasz érkezett a szervertől.

Muthiyah azonban nem elégedett meg ennyivel – kíváncsi volt, hogy az album azonosítójának ismeretében más felhasználók képeit is el tudja-e távolítani a Facebookról. Ez is bejött, így a hiba kihasználásával gyakorlatilag bármelyik felhasználó bármelyik albumát törölni tudta volna a Facebookról, amennyiben annak azonosítójához hozzáfért (azaz az albumnak nyilvános státuszt adott tulajdonosa).

12 500 dollár járt érte

A fejlesztő azonnal jelentette a hibát a Facebooknak, a vállalat pedig alig néhány óra alatt javította azt. Muthiyah ( akinek az elmúlt években ez volt a harmadik hivatalos hibabejelentése) a sérülékenység kihasználásáról egy videót is készített, munkáját a cég 12 500 dollárral jutalmazta.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.