Даже самые популярные веб-сайты с миллиардными оборотами могут иметь уязвимости. По этой причине эти компании проводят программы по выявлению ошибок. которые предлагают разработчикам ценные деньги найти ошибки и уязвимости.
Ранее в этом месяце иранский веб-разработчик Пуя Дараби обнаружил критическую уязвимость в Facebook который позволяет любому удалить, чтобы удалить любую фотографию из платформы социальных сетей. Эта лазейка находится в новой функции опросов Facebook, запущенной ранее в этом месяце, которая позволяет пользователям создавать опросы, включающие GIF и изображения.
Когда Дарабай анализировал эту функцию, он узнал, что когда опрос создается пользователем, на серверы Facebook будет отправлен запрос с идентификатором изображения любой фотографии, выбранной в сети социальной сети, которую может заменить любой. Теперь, когда идентификатор изображения изменяется в URL-адресе, это конкретное изображение будет отображаться в опросе.
«Каждый раз, когда пользователь пытается создать опрос, будет отправлен запрос, содержащий URL-адрес gif или идентификатор изображения, poll_question_data [options] [] [associated_image_id] содержит идентификатор загруженного изображения», - сказал Дараби. «Когда значение этого поля изменяется на любой другой идентификатор изображения, это изображение будет отображаться в опросе».
Более того, если создатель опроса удалит опрос, он в конечном итоге навсегда удалит исходное изображение, полученное с чужой страницы.
Как только Дараби обнаружил уязвимость, он сообщил об ошибке в Facebook 3 ноября, и гигант социальных сетей немедленно отреагировал на нее и выпустил временное исправление для нее 3 ноября, за которым последовало постоянное исправление 5 ноября. Позже, 8 ноября, Facebook наградил его вознаграждением в размере 10,000 XNUMX долларов за предотвращение потенциального ущерба как для пользователей, так и для репутации гиганта социальных сетей в целом.
https://www.facebook.com/DynamicW0rld/videos/537437603273104/
Это не первый раз, когда Дараби получает вознаграждение от Facebook. Ранее, в 2015 году, компания наградила его 15,000 долларов. bug bounty за обход системы защиты против подделки межсайтовых запросов (CSRF). А в 2016 году он заработал еще 7,500 долларов за обнаружение аналогичной проблемы.
