2017 년 11 월 28 일

이 Facebook 버그로 인해 누구나 사진을 삭제할 수 있습니다.

수십억 번의 매출을 기록한 최상위 웹 사이트조차도 취약성을 가질 수 있습니다. 이것이이 회사들이 버그 현상금 프로그램을 수행하는 이유입니다. 개발자에게 귀중한 금액을 제공하는 버그와 취약점을 찾습니다.

이달 초이란 웹 개발자 인 Pouya Darabi는 페이스북 누구나 삭제하여 소셜 미디어 플랫폼에서 사진을 삭제할 수 있습니다. 이 허점은 사용자가 GIF 및 이미지를 포함하는 설문 조사를 만들 수 있도록 이달 초에 출시 된 Facebook의 새로운 설문 조사 기능에 있습니다.

Facebook 취약성

Darabai는이 기능을 분석 할 때 사용자가 설문 조사를 만들면 누구든지 대체 할 수있는 소셜 미디어 네트워크에서 선택한 사진의 이미지 ID와 함께 요청이 Facebook 서버로 전송된다는 사실을 알게되었습니다. 이제 URL에서 이미지 ID가 변경되면 해당 특정 이미지가 설문 조사에 표시됩니다.

Facebook 취약성

"사용자가 설문 조사를 만들려고 할 때마다 gif URL 또는 이미지 ID가 포함 된 요청이 전송되고 poll_question_data [options] [] [related_image_id]에 업로드 된 이미지 ID가 포함됩니다."라고 Darabi는 말했습니다. "이 필드 값이 다른 이미지 ID로 변경되면 해당 이미지가 설문 조사에 표시됩니다."

또한 설문 조사 작성자가 설문 조사를 삭제하면 결국 다른 사람의 페이지에서 가져온 원본 이미지가 영구적으로 삭제됩니다.

Facebook 취약성

Darabi가 취약점을 발견하자마자 그는 3 월 3 일 Facebook에 버그를보고했고, 소셜 미디어 거대 기업은 즉시 이에 대응하여 5 월 8 일에 임시 수정을 발표 한 후 10,000 월 XNUMX 일에 영구적 인 수정을 발표했습니다. XNUMX 월 XNUMX 일 후반에 Facebook은 소셜 미디어 거대 기업의 일반적인 평판뿐만 아니라 두 사용자 모두에 대한 잠재적 인 피해를 방지하기 위해 그에게 $ XNUMX의 현상금을 수여했습니다.

https://www.facebook.com/DynamicW0rld/videos/537437603273104/

Darabi가 Facebook에서 보상을받은 것은 이번이 처음이 아닙니다. 이전에는 2015 년에 회사에서 15,000 달러를 수여했습니다. 보호 시스템을 피하기위한 버그 현상금 교차 사이트 요청 위조 (CSRF)에 대해. 그리고 2016 년에는 비슷한 문제를 찾아서 $ 7,500을 더 벌었습니다.

 

저자, 

메그 나


{ "email": "Email address invalid", "url": "Website address invalid", "required": "필수 필드 누락"}