Poniedziałek z trenerem – modyfikacja jednego parametru za 10 000 dolarów

Kiedy zaczynaliśmy cykl „Poniedziałek z Trenerem” nie byliśmy pewni, czy co tydzień znajdzie się błąd w aplikacji WWW, który można opisać. Tymczasem wygląda na to, że materiału do kolejnych wydań szybko nie zabraknie.

Niedawno opisywaliśmy jak można było dodawać obrazki jako inny użytkownik Facebooka. Dziś opiszemy podobny błąd, czyli jak możliwe było usuwanie obrazków z postów innych. A błąd znajdował się w tej samej funkcji!

Jest to podatność z kategorii niebezpiecznych odwołań do obiektów. Felerna funkcja tworzenia ankiet najwyraźniej nie została dostatecznie przetestowana. Aby usunąć obrazek wystarczyło:

1. Odczytać identyfikator obrazka z podstrony na której się znajduje.
2. Stworzyć swoją ankietę, podmieniając parametr z identyfikatorem – poll_question_data[options][][associated_image_id]

3. Usunąć ankietę i poczekać chwilę aż cache się zaktualizuje.

Błąd został naprawiony w dwóch fazach, poprawka tymczasowa została wprowadzona w niespełna półtorej godziny po zgłoszeniu, a trwałe usunięcie nastąpiło w niecałe 48 godzin. Odkrywca otrzymał nagrodę w postaci 10 000 dolarów.

Podsumowanie

W tej historii mamy z jednej strony bardzo trywialny błąd, który nie tak trudno było odkryć i wykorzystać, a z drugiej całkiem sporą nagrodę dla jego odkrywcy. To pokazuje, że nawet w bardzo dużych i dojrzałych serwisach takich jak Facebook warto nadal poszukiwać prostych błędów, szczególnie w nowych, niedawno wprowadzonych funkcjach. Nie traćcie zatem nadziei.

W poprzednich odcinkach

W cyklu Poniedziałek z trenerem opisywaliśmy już:

• dwa proste błędy w kodzie Facebooka,
• cztery błędy do zdalnego wykonania kodu.

Wyszukiwania takich błędów i ich unikania możecie nauczyć się na naszym szkoleniu.

Szkolenie z bezpieczeństwa aplikacji WWW