close
一位印度電子工程師發現瞭Facebook的又一漏洞。利用這一漏洞,用戶可以在所有者不知情的情況下刪除其賬戶內的任何照片,無需任何用戶交互。這名工程師叫做阿魯爾?庫馬爾,21歲來自泰米爾納德邦。庫馬爾將收到Facebook的白帽錯誤賞金計劃的12500美元獎勵。
他發現的漏洞藏匿於Facebook移動版的控制面板。這一程序允許用戶跟蹤他們對Facebook賬戶的任何操作。其中包括顯示需要被刪除的照片。當用戶提交刪除請求,這一程序會將刪除鏈接轉發給用戶,由用戶決定是否刪除。但是問題就出現在這一鏈接上。
庫馬爾發現,此鏈接的參數包含“photo_id”和“profile_id”,所以好事者可以修改他們。然後,點擊鏈接Facebook就會執行刪除命令。但是如果photo_id被修改為其他用戶照片,那麼照片刪除請求就會在這一照片上執行。
庫馬爾利用他控制的另一個賬戶,驗證瞭這一想法。庫馬爾可以刪除任何用戶的任意照片。而受害者隻有在查看照片時,才會發現它消失瞭。庫馬爾表示,該漏洞可以被用來從任何用戶頁面或群組,以及狀態、相冊、位置和留言部分刪除照片。
Orignal From: 臉譜爆新漏洞 照片可被陌生人隨意刪除
全站熱搜
留言列表
