Müstəqil hindistanlı araşdırmaçı Arun Sureşkumar (Arun Sureshkumar ) Facebook şirkətinin bug bounty proqramı üzrə yüksək mükafata layiq görülmüşdür.
Arun Sureşkumar Facebook Business Manager pulsuz alətində boşluğu aşkarlayaraq bu barədə öz saytında geniş məlumat vermişdir. Facebook Business Manager aləti reklamların, səhifələrin idarə olunması və Facebook səhifələrinə bir neçə nəfərə eyni zamanda giriş imkanı yaratmaq üçün nəzərdə tutulmuş proqram əlavəsidir.
İstifadəçi Business Manager yeni tərəfdaş əlavə edərkən həmin istiafadəçinin ID və hüquqlarını göstərməlidir. Araşdırmaçının sözlərinə görə, bu prosedur zamanı göndərilən sorğularla asanlıqla IDOR-boşluğu vasitəsilə (insecure direct object reference) manipulyasiya etmək mümkündür.
Hücum edən tərəf bu boşluqdan istifadə edərək test hesabı vasitəsilə Facebook serverinə generasiya olunmuş sorğular göndərərək cavablar əldə etdikdən sonra uyğun parametrləri dəyişərək səhifənin redaktoruna çevrilə bilər. Araşdırmaçı qeyd edir ki, bu hücumla istənilən səhifəni o cümlədən, yüksək səviyyəli və məşhur insanların səhifələrini də məsələn, Barak Obama və Bil Qeytsin səhifələrini ələ keçirmək olar.
Sureşkumar öz hücumun həyata keçirilməsi barədə video yerləşdirmişdir.
Araşdırmaçı bu boşluq barədə Facebook şirkətinə 29 avqust 2016-cı ildə xəbər verdiyini və boşluğun 6 sentyabr 2016-ci ildə aradan qaldırıldığını yazır. Nəticədə araşdırmaçı Facebook şirkəti tərəfindən 16 000 ABŞ dolları miqdarında mükafatlandırılmışdır. Şirkətin nümayəndələri xəbər verirlər ki, araşdırmaçı tərəfindən aşkarlanan boşluq aradan qaldırılan zaman sistemdə daha bir təhlükəli boşluqda aşkarlanıb aradan qaldırıldığına görə mükafatın həcmi artırılmışdır.
Mənbə: xakep.ru
