Selv de mest populære websteder med milliarder af omsætning kan have sårbarheder. Det er grunden til, at disse virksomheder gennemfører bug bounty-programmer der tilbyder en værdifuld sum penge til udviklere for at finde fejl og sårbarheder.
Tidligere på måneden har en iransk webudvikler, Pouya Darabi opdaget en kritisk sårbarhed i Facebook der lader nogen slette for at slette ethvert foto fra den sociale medieplatform. Dette smuthul er placeret i Facebooks nye afstemningsfunktion, der blev lanceret tidligere på denne måned, og som giver brugerne mulighed for at oprette afstemninger, der inkluderer GIF'er og billeder.
Da Darabai analyserede denne funktion, blev han klar over, at når en afstemning oprettes af en bruger, vil en anmodning blive sendt til Facebook-serverne med billed-id på ethvert foto valgt på det sociale medienetværk, som kunne erstattes af enhver. Nu, når billed-id'et ændres i URL'en, vises det bestemte billede i afstemningen.
"Hver gang en bruger forsøger at oprette en afstemning, sendes en anmodning, der indeholder gif-URL eller billed-id, poll_question_data [optioner] [] [associeret_billede_id] det ede billed-id," sagde Darabi. "Når denne feltværdi skifter til et andet billed-ID, vises det billede i afstemningen."
Desuden, hvis afstemningsskaberen sletter afstemningen, vil den til sidst slette det originale billede, der kommer fra en andens side permanent.
Så snart Darabi opdagede sårbarheden, rapporterede han fejlen til Facebook den 3. november, og den sociale mediegigant har straks reageret på den og frigivet en midlertidig løsning til den 3. november efterfulgt af en permanent løsning den 5. november. Senere den 8. november tildelte Facebook ham $ 10,000 dusør for at forhindre potentiel skade for begge brugere såvel som den sociale mediegigants omdømme generelt.
https://www.facebook.com/DynamicW0rld/videos/537437603273104/
Dette er ikke første gang, hvor Darabi har modtaget en belønning fra Facebook. Tidligere tildelte virksomheden ham i 2015 $ 15,000 i XNUMX bug bounty for at undgå beskyttelsessystemet mod forfalskning på tværs af websteder (CSRF). Og i 2016 tjente han yderligere $ 7,500 dollars for at finde et lignende problem.
