即使是擁有數十億營業額的頂級網站也可能存在漏洞。 這就是這些公司實施漏洞賞金計劃的原因 為開發人員提供了寶貴的資金 發現錯誤和漏洞。
本月早些時候,伊朗 Web 開發人員 Pouya Darabi 發現了一個嚴重的漏洞 Facebook 允許任何人刪除以從社交媒體平台刪除任何照片。 這個漏洞存在於 Facebook 本月早些時候推出的新投票功能中,該功能允許用戶創建包含 GIF 和圖像的投票。
當 Darabai 分析此功能時,他了解到當用戶創建民意調查時,將向 Facebook 服務器發送請求,其中包含在社交媒體網絡上選擇的任何照片的圖像 ID,任何人都可以替換該圖像 ID。 現在,當 URL 中的圖像 ID 更改時,該特定圖像將顯示在投票中。
“每當用戶嘗試創建投票時,都會發送一個包含 gif URL 或圖像 ID 的請求, poll_question_data[options][][related_image_id] 包含上傳的圖像 ID,”Darabi 說。 “當此字段值更改為任何其他圖像 ID 時,該圖像將顯示在投票中。”
此外,如果投票創建者刪除投票,它最終會永久刪除來自其他人頁面的原始圖像。
Darabi 發現漏洞後,他於 3 月 3 日向 Facebook 報告了該漏洞,這家社交媒體巨頭立即做出回應,並於 5 月 8 日發布了臨時修復程序,隨後在 10,000 月 XNUMX 日發布了永久修復程序。 XNUMX 月 XNUMX 日晚些時候,Facebook 獎勵他 XNUMX 美元,以防止對用戶和社交媒體巨頭的整體聲譽造成潛在損害。
https://www.facebook.com/DynamicW0rld/videos/537437603273104/
這不是 Darabi 第一次從 Facebook 獲得獎勵。 此前,在 2015 年,公司獎勵他 15,000 美元 用於避免保護系統的錯誤賞金 防止跨站點請求偽造 (CSRF)。 2016 年,他又因發現類似問題而賺了 7,500 美元。
