原标题:为何Facebook这个严重漏洞,让骇客能任意删除用户视频
骇客可利用Facebook漏洞,删除用户任何影片
图片来源:Dan Melamed
资安研究人员Dan Melamed于23日在部落格揭露,Facebook有个严重的原始码漏洞,允许骇客不用取得特定的身分权限或是身分验证,就能利用该漏洞删除Facebook上的任何影片,还可以停用Facebook影片下面的评论。目前,Facebook已经对外公开此漏洞,并且发放回报漏洞奖金10,000美元(约新台币31万元)给Dan Melamed。
Dan Melamed在2016年6月就发现Facebook上存有此漏洞,并且上传影片通报Facebook。在通报影片里面,骇客可以建立一个Facebook的活动页,上传影片至Facebook。然后,拦截Facebook发布影片的请求,Facebook会出现「你的影片现在正处理中。我们将在处理完成之后通知你」的请求视窗。该视窗原始码会呈现个人资料ID(av= Profile ID )跟刚上传影片的ID(= Video ID )。
接着,骇客利用刚上传影片的ID,替换成用户上传影片ID,用户的影片就会出现骇客建立的活动页上面,成为骇客上传的影片。最后,骇客只要在活动页删除用户的影片,就一併删除用户上传至Facebook上的影片。骇客只要花不到5分钟的时间,就能够删除任何一个上传Facebook的影片。除此之外,骇客也可以利用此方法,停用用户影片下的评论。
Dan Melamed在去年6月就回报Facebook存在此漏洞,直到今年1月23日才对外公布此漏洞。此外,资安研究人员Pranan Hivarekar也在去年发现,骇客可以任意删除Facebook影片另一个漏洞。Facebook已经在去年6月修补此漏洞,也发放回报漏洞奖金给Pranan Hivarekar。?
相关:
研究人员:已修补的Linux Systemd v288漏洞被低估,骇客可取得最高权限
图片来源: Sebastian Krahmer 安全研究人员Sebastian Krahmer本周指出 ,Linux平台所使用的初始化系统systemd v228曾被修补的漏洞并不如当初以为的那幺简单,而是可能允许骇客取得装置的最高权限。2015年10月时,sy
辜成允在晶华酒店下楼梯时摔伤不治,楼梯使用安全引各界关注,北市都发局表示,按规定楼梯宽超过 3米须加设中间扶手,将协助晶华酒店改善,晶华表示,会全力配合。台湾水泥公司董事长辜成允21日晚间在台北巿晶华酒店
Google开源旗下VR绘图工具Tilt Brush,整合Tilt Brush档至音乐、视频专案
图片来源: Google Google日前宣布,开源旗下虚拟实境绘图工具Tilt Brush,提供使用者能结合在Tilt Brush中创作的3D物件档案至游戏、音乐、影片等专案,来创作具互动性的3D内容。目前,Google已在GitHub上释出Tilt Br
Google云端通讯服务成骇客勒索帮凶,传达骇客控制指令至Android用户
Google云端传讯服务成骇客控制中心 图片来源: Google Cloud Messaging 资安公司Fortinet研究人员Kai Lu于16日公布,有一款专门攻击Android装置的勒索软体Locker,会锁定萤幕要求使用者输入信用卡资料。这款勒索软体
华尔街日报引述熟悉內情人士的话报道,美国证券管理委员会已就雅虎公司是否应更快将两大遭骇客入侵事件告知投资人,展开调查。报道中说,美国证券管理委员会去年12月要求雅虎提出遭骇客入侵相关文件。美国法律要求遭