Anki l-iktar websajts ta 'fuq b'biljuni ta' fatturat jista 'jkollhom vulnerabbiltajiet. Dik hija r-raġuni għaliex dawn il-kumpaniji jwettqu programmi ta 'bounty bug li joffru ammont prezzjuż ta 'flus lill-iżviluppaturi biex issib bugs u vulnerabbiltajiet.
Aktar kmieni dan ix-xahar, żviluppatur tal-web Iranjan, Pouya Darabi skopra vulnerabbiltà kritika fl-XNUMX facebook li tħalli lil kulħadd iħassar biex iħassar kwalunkwe ritratt mill-pjattaforma tal-midja soċjali. Din il-lakuna tirrisjedi fil-karatteristika l-ġdida tal-Poll tal-Facebook imnedija aktar kmieni dan ix-xahar li tħalli lill-utenti joħolqu stħarriġ li jinkludi GIF u stampi.
Meta Darabai kien qed janalizza din il-karatteristika, sar jaf li meta tinħoloq stħarriġ minn utent, tintbagħat talba lis-servers ta ’Facebook bl-ID tal-immaġni ta’ kwalunkwe ritratt magħżul fuq in-netwerk tal-midja soċjali li jista ’jiġi sostitwit minn kulħadd. Issa, meta l-ID tal-immaġni tinbidel fil-URL, dik l-immaġni partikolari tintwera fl-elezzjoni.
"Kull meta utent jipprova joħloq stħarriġ, tintbagħat talba li jkun fiha gif URL jew image id, poll_question_data [għażliet] [] [associated_image_id] ikun fih l-id tal-immaġni mtella '," qal Darabi. "Meta dan il-valur tal-kamp jinbidel għal kwalunkwe ID ta 'immaġini oħra, dik l-immaġni tintwera fl-istħarriġ."
Barra minn hekk, jekk il-kreatur tal-istħarriġ iħassar l-istħarriġ, eventwalment iħassar l-immaġni oriġinali li ġejja mill-paġna ta 'xi ħadd ieħor b'mod permanenti.
Hekk kif Darabi skopra l-vulnerabbiltà huwa rrapporta l-bug lil Facebook fit-3 ta ’Novembru u l-ġgant tal-midja soċjali mill-ewwel wieġeb għaliha u ħareġ soluzzjoni temporanja għaliha fit-3 ta’ Novembru segwita minn soluzzjoni permanenti fil-5 ta ’Novembru. Aktar tard fit-8 ta 'Novembru, Facebook tah $ 10,000 bounty talli ppreveniet ħsara potenzjali liż-żewġ utenti kif ukoll ir-reputazzjoni tal-ġgant tal-midja soċjali b'mod ġenerali.
https://www.facebook.com/DynamicW0rld/videos/537437603273104/
Din mhix l-ewwel darba meta Darabi rċieva premju mingħand Facebook. Preċedentement, fl-2015, il-kumpanija tath $ 15,000 Bounty bug biex tevita s-sistema ta 'protezzjoni kontra falsifikazzjoni ta 'talba minn sit għal ieħor (CSRF). U fl-2016, huwa kiseb $ 7,500 dollaru ieħor talli sab kwistjoni simili.
