Eĉ la plej multaj retejoj kun miliardoj da spezoj povas havi vundeblecojn. Tio estas la kialo, ke ĉi tiuj kompanioj kondukas programojn pri cimoj kiuj ofertas valoran monsumon al programistoj trovi cimojn kaj vundeblecojn.
Komence de ĉi tiu monato, irana reteja programisto, Pouya Darabi malkovris kritikan vundeblecon en Facebook tio permesas al iu ajn forigi por forigi ajnan foton de la socia amaskomunikila platformo. Ĉi tiu kaŝpasejo loĝas en la nova voĉdona funkcio de Facebook lanĉita pli frue ĉi-monate, kiu permesas al la uzantoj krei voĉdonojn, kiuj inkluzivas bildojn kaj bildojn.
Kiam Darabai analizis ĉi tiun funkcion, li eksciis, ke kiam enketo estas kreita de uzanto, peto estos sendita al la Facebook-serviloj kun bilda identigilo de iu ajn foto elektita en la socia reto, kiun povus anstataŭigi iu ajn. Nun, kiam la bilda ID estas ŝanĝita en la URL, tiu aparta bildo montriĝos en la enketo.
"Ĉiufoje kiam uzanto provas krei voĉdonadon, peto enhavanta gif-URL aŭ bildan identigilon estos sendita, poll_question_data [opcioj] [] [asociita_bildo_havas] enhavas la alŝutitan bildan identigilon," diris Darabi. "Kiam ĉi tiu kampa valoro ŝanĝiĝos al iu ajn alia bilda ID, tiu bildo montriĝos en enketo."
Cetere, se la enketisto kreos la enketon, ĝi fine forigus la originalan bildon akiritan de iu alia paĝo konstante.
Tuj kiam Darabi malkovris la vundeblecon, li raportis la cimon al Facebook la 3an de novembro kaj la socia amaskomunikila giganto tuj respondis al ĝi kaj publikigis provizoran riparon por ĝi la 3an de novembro sekvitan de konstanta riparo la 5an de novembro. Poste la 8-an de novembro, Facebook donis al li premion de 10,000 XNUMX USD pro malhelpo de ebla damaĝo al ambaŭ uzantoj kaj ankaŭ la reputacio de la giganta socia amaskomunikilaro ĝenerale.
https://www.facebook.com/DynamicW0rld/videos/537437603273104/
Ĉi tiu ne estas la unua fojo, kiam Darabi ricevis rekompencon de Facebook. Antaŭe, en 2015, la kompanio donis al li $ 15,000 cimoprezento por eviti la sistemon de protekto kontraŭ interreteja petfalsado (CSRF). Kaj en 2016, li gajnis aliajn 7,500 XNUMX dolarojn por trovi similan numeron.
