Удаление огромного количества видеороликов за короткое время могло нарушить работу видеохостинга.
Специалисты Google исправили простую, но достаточно серьезную уязвимость в You Tube, которая позволяла любому пользователю удалить ролики с видеохостинга при помощи одного клика.
Брешь обнаружил исследователь безопасности из России Камиль Хисматулин. Специалист постоянно участвует в программе поиска уязвимостей Google Vulnerability Research Grants. В этот раз целью Хисматулина стал YouTube Creator Studio. Исследователь решил изучить систему live_events/broadcasting на предмет наличия брешей CSRF или XSS, но процессе обнаружил логическую ошибку, которая позволила ему удалить любое видео с сервиса путем отправки простого запроса.
Хисматулин сообщил о проблеме команде безопасности Google, которая несмотря на субботнее утро, исправила уязвимость в течение нескольких часов. За свои труды исследователь получил награду в $5 тыс.
Как заметил специалист в своем блоге, эта уязвимость могла бы вызвать настоящий хаос в считанные минуты, поскольку ее эксплуатация позволяла нарушить работу You Tube посредством удаления огромного количества видеороликов в короткий период времени.
Источник: securitylab.ru
Комментариев нет:
Отправить комментарий