IT обозрение


Новости интернета и компьютерных технологий

Баг в новом дизайне Facebook позволял удалять чужие фото

23 августа
11:33 2019

Весной текущего года, на ежегодной конференции F8 компания Facebook анонсировала FB5 — новый дизайн для платформы социальных сетей. Еще тогда небольшая группа ИБ-специалистов получила ранний доступ к новому дизайну, и один из них, Филипп Хервуд (Philippe Harewood), сумел обнаружить интересную ошибку.

В своем блоге специалист рассказал, что обнаружил возможность злоупотребления вызовом GraphQL, при помощи которого в новом дизайне можно удалять изображения профилей с фан-страниц Facebook (опираясь на поле profile_id). Как оказалось, просто изменив этот идентификатор на ID обычного пользователя, можно было добиться удаления фото из профиля этого человека.

Так как в настоящее время проблему уже исправили, Хервуд приложил к своему отчету простой PoC-эксплоит для уязвимости.

111Capture.png (53 KB)

Представители Facebook уже подтвердили информацию, опубликованную исследователем, а также сообщили, что обнаружив эту уязвимость, Хервуд получил 2500 долларов в рамках программы bug bounty.

Источник: xakep.ru


Статьи по теме

0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Последние новости

    Tencent не отодвинула OtherSide от разработки System Shock 3, но деталями студия пока не может поделиться

23:30 Tencent не отодвинула OtherSide от разработки System Shock 3, но деталями студия пока не может поделиться

0 комментариев Читать всю статью

Переводчик текста

с  на


Система - точный переводчик текста