پویا دارابی آسیبپذیری جدیدی در فیسبوک کشف کرد
اتفاقات اخیر نشان میدهد که حتی وبسایتی با ارزش ۵۰۰ میلیارد دلار نیز میتواند دارای حفرههای امنیتی و آسیبپذیر باشد. پویا دارابی، برنامهنویس ایرانی، چندی پیش مشکلی امنیتی را کشف کرد که به واسطهی آن میشد هر عکسی را از پلتفرم شبکهی اجتماعی آسیبپذیر حذف کرد.
این شبکهی اجتماعی آسیبپذیر، فیسبوک بود که با اضافه کردن قابلیت نظرسنجی دچار این مشکل شده بود. به واسطهی این مشکل، نظرسنجیهایی که شامل عکس و تصاویر متحرک GIF بودند در معرض آسیب قرار گرفتند.
دارابی متوجه شد که هنگام ایجاد یک نظرسنجی جدید، در کدهای درخواستی که به سرور فیسبوک ارسال میشود هر کسی میتواند بهراحتی آیدی تصویر یا آدرس فایل GIF را به هر عکس دیگری در این شبکهی اجتماعی تغییر دهد.
بعد از ارسال درخواست با آیدی تصویر عوضشده، نظرسنجی مورد نظر با آن تصویر نمایش داده خواهد شد.
دارابی توضیح میدهد:
هروقت یک کاربر بخواهد نظرسنجی ایجاد کند، درخواستی حاوی یوآرال فایل GIF یا آیدی تصویر به شکل poll_question_data[options][][associated_image_id] ارسال میشود. وقتی مقادیر این فیلد به آیدی تصویر دیگری تغییر کند، آن تصویر در نظرسنجی به نمایش درخواهد آمد.
همانطور که در ویدیوی فوق میبینید، ظاهرا اگر ایجادکنندهی نظرسنجی آن را پاک کند، تصویری که آیدی آن در نظرسنجی قرار گرفته بود نیز پاک میشود؛ حتی اگر عکس متعلق به سازندهی نظرسنجی نباشد.
پویا دارابی میگوید بعد از گزارش این آسیبپذیری به فیسبوک در سوم نوامبر، مبلغ ۱۰ هزار دلار پاداش دریافت کرده است. فیسبوک دو روز بعد، در پنجم نوامبر، مشکل را حل کرد.
این اولین بار نیست که فیسبوک دچار آسیبپذیریهای امنیتی شده است. در گذشته نیز محققان مشکلاتی کشف کرده بودند که به کاربران اجازهی حذف ویدیوها، آلبومهای عکس و حذف کامنت و ویرایش پیامها را میداد.
دارابی پیشتر نیز به دلیل کشف مشکلات امنیتی پاداشهایی از فیسبوک دریافت کرده بود. این محقق در سال ۲۰۱۵ با عبور از سیستم حفاظتی CSRF در فیسبوک ۱۵ هزار دلار و در سال ۲۰۱۶ با کشف مشکلی مشابه ۷۵۰۰ دلار از فیسبوک پاداش گرفته بود.
در این مطلب از زومیت بهترین و محبوبترین بازیهای رایگان و پولی اندروید را در ژانرهای مختلف معرفی میکنیم.
یک گروه هکری مدعی دسترسی به اطلاعات مشتریان بانک صادرات شد؛ ادعایی در ادامه حملات پیشین به بانکهای ملی و ملت.
در این مقاله به شما آموزش میدهیم که چطور برای خرید اینترنتی و موارد دیگر به پلیس فتا به صورت آنلاین مراجعه و فرم شکایت آن را پر کنید.
در مقالهی پیش رو بهترین هندزفریها و ایربادهای کاملاً بیسیم بازار ایران را در بازههای قیمتی مختلف معرفی میکنیم.
اگر بهدنبال سرگرمی بدون نیاز به اینترنت هستید، بهترین بازیهای آفلاین اندروید برای شما ساخته شدهاند.
آیا راهی برای فعال کردن بسته اینترنت رایگان ایرانسل وجود دارد؟ در این مقاله همهی روشهای گرفتن اینترنت رایگان ایرانسل را معرفی کردهایم.
اگر مشترک اینترنت ثابت شرکت مخابرات هستید، این مطلب را بخوانید تا برایتان توضیح دهیم برای چک کردن حجم اینترنت مخابرات باید چه کارهایی انجام دهید.
-652d21c5eb21a6b54f515846?w=1920&q=75)
-638bb8678b369136d458d530?w=1920&q=75)
