04.12.2017 | 21:37

Przemysław Sierociński

Poniedziałek z trenerem – modyfikacja jednego parametru za 10 000 dolarów

Kiedy zaczynaliśmy cykl „Poniedziałek z Trenerem” nie byliśmy pewni, czy co tydzień znajdzie się błąd w aplikacji WWW, który można opisać. Tymczasem wygląda na to, że materiału do kolejnych wydań szybko nie zabraknie.

Niedawno opisywaliśmy jak można było dodawać obrazki jako inny użytkownik Facebooka. Dziś opiszemy podobny błąd, czyli jak możliwe było usuwanie obrazków z postów innych. A błąd znajdował się w tej samej funkcji!

Jest to podatność z kategorii niebezpiecznych odwołań do obiektów. Felerna funkcja tworzenia ankiet najwyraźniej nie została dostatecznie przetestowana. Aby usunąć obrazek wystarczyło:

1. Odczytać identyfikator obrazka z podstrony na której się znajduje.
2. Stworzyć swoją ankietę, podmieniając parametr z identyfikatorem – poll_question_data[options][][associated_image_id]

3. Usunąć ankietę i poczekać chwilę aż cache się zaktualizuje.

Błąd został naprawiony w dwóch fazach, poprawka tymczasowa została wprowadzona w niespełna półtorej godziny po zgłoszeniu, a trwałe usunięcie nastąpiło w niecałe 48 godzin. Odkrywca otrzymał nagrodę w postaci 10 000 dolarów.

Podsumowanie

W tej historii mamy z jednej strony bardzo trywialny błąd, który nie tak trudno było odkryć i wykorzystać, a z drugiej całkiem sporą nagrodę dla jego odkrywcy. To pokazuje, że nawet w bardzo dużych i dojrzałych serwisach takich jak Facebook warto nadal poszukiwać prostych błędów, szczególnie w nowych, niedawno wprowadzonych funkcjach. Nie traćcie zatem nadziei.

W poprzednich odcinkach

W cyklu Poniedziałek z trenerem opisywaliśmy już:

Wyszukiwania takich błędów i ich unikania możecie nauczyć się na naszym szkoleniu.

Szkolenie z bezpieczeństwa aplikacji WWW

Bezpieczeństwo aplikacji WWW - atak i obrona

Wroclaw
Wrocław, 10 – 12 stycznia 2018

Warsaw-center-free-license-CC0
Warszawa, 19 – 21 lutego 2018

Czas trwania: 3 dni (20h), Prowadzący: Adam z z3s, Przemysław Sierociński
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto

Szczegółowy opis szkolenia
Powrót

Komentarze

  • 2017.12.06 13:30 anon

    Zero komentarzy pod tym i wcześniejszym artykułem. Dziwne, bo temat bardzo ciekawy.
    Poleciłbyś jakieś źródła pokazujące jak szukać takich błędów?

    Odpowiedz
    • 2017.12.07 10:13 anon2

      Polecam OWASP Top 10 ;)

      Odpowiedz
    • 2017.12.08 04:36 anon123

      Odpowiedz jest prosta. Nie ma jednego dobrego zrodla, zeby wykrywac bledy (w rozsadnym czasie) trzeba posiadac rozlegla wiedze z takich obszarow jak: sieci/os/debugging aplikacji/bazy danych/programowanie etc. Co z tego ze wiesz co to jest OWASP jak nie wiesz co to jest SELECT? ;)

      Odpowiedz
  • 2017.12.07 10:34 bbb

    jesteśmy w szoku :)

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Poniedziałek z trenerem – modyfikacja jednego parametru za 10 000 dolarów

Komentarze