Poniedziałek z trenerem – modyfikacja jednego parametru za 10 000 dolarów
Kiedy zaczynaliśmy cykl „Poniedziałek z Trenerem” nie byliśmy pewni, czy co tydzień znajdzie się błąd w aplikacji WWW, który można opisać. Tymczasem wygląda na to, że materiału do kolejnych wydań szybko nie zabraknie.
Niedawno opisywaliśmy jak można było dodawać obrazki jako inny użytkownik Facebooka. Dziś opiszemy podobny błąd, czyli jak możliwe było usuwanie obrazków z postów innych. A błąd znajdował się w tej samej funkcji!
Jest to podatność z kategorii niebezpiecznych odwołań do obiektów. Felerna funkcja tworzenia ankiet najwyraźniej nie została dostatecznie przetestowana. Aby usunąć obrazek wystarczyło:
1. Odczytać identyfikator obrazka z podstrony na której się znajduje.
2. Stworzyć swoją ankietę, podmieniając parametr z identyfikatorem – poll_question_data[options][][associated_image_id]
3. Usunąć ankietę i poczekać chwilę aż cache się zaktualizuje.
Błąd został naprawiony w dwóch fazach, poprawka tymczasowa została wprowadzona w niespełna półtorej godziny po zgłoszeniu, a trwałe usunięcie nastąpiło w niecałe 48 godzin. Odkrywca otrzymał nagrodę w postaci 10 000 dolarów.
Podsumowanie
W tej historii mamy z jednej strony bardzo trywialny błąd, który nie tak trudno było odkryć i wykorzystać, a z drugiej całkiem sporą nagrodę dla jego odkrywcy. To pokazuje, że nawet w bardzo dużych i dojrzałych serwisach takich jak Facebook warto nadal poszukiwać prostych błędów, szczególnie w nowych, niedawno wprowadzonych funkcjach. Nie traćcie zatem nadziei.
W poprzednich odcinkach
W cyklu Poniedziałek z trenerem opisywaliśmy już:
Wyszukiwania takich błędów i ich unikania możecie nauczyć się na naszym szkoleniu.
Szkolenie z bezpieczeństwa aplikacji WWW
Wrocław, 10 – 12 stycznia 2018
Warszawa, 19 – 21 lutego 2018
Czas trwania: 3 dni (20h), Prowadzący: Adam z z3s, Przemysław Sierociński
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto
Szczegółowy opis szkolenia
Podobne wpisy
- Wszystko, co chcieliście wiedzieć o błędach SSRF, ale baliście się zapytać
- Poznaliśmy hasło do bazy Albicla.com po raz trzeci plus wyciek kodu serwisu
- Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com
- Podstawy Bezpieczeństwa: Facebook – jak zadbać o bezpieczeństwo i prywatność
- Jak czytelnik zorientował się, że jego konto w mBanku nie jest już jego
Zero komentarzy pod tym i wcześniejszym artykułem. Dziwne, bo temat bardzo ciekawy.
Poleciłbyś jakieś źródła pokazujące jak szukać takich błędów?
Polecam OWASP Top 10 ;)
Odpowiedz jest prosta. Nie ma jednego dobrego zrodla, zeby wykrywac bledy (w rozsadnym czasie) trzeba posiadac rozlegla wiedze z takich obszarow jak: sieci/os/debugging aplikacji/bazy danych/programowanie etc. Co z tego ze wiesz co to jest OWASP jak nie wiesz co to jest SELECT? ;)
jesteśmy w szoku :)