Наверх
Меню
Новости
Статьи
twitter
Новости Internet
7 августа 2014
970
  Уязвимость в Flickr позволяла злоумышленникам изменять профиль жертвы  
 
Уязвимость в Flickr позволяла злоумышленникам изменять профиль жертвы
17-летний подросток из Ирака обнаружил брешь на популярном фотохостинге, подделав HTTP-запрос. Популярный web-сайт Flickr, предназначенный для хранения и просмотра фотографий, оказался подверженным уязвимости , позволяющей взломщикам изменять изображение профиля жертвы.

Обслуживая более 87 миллионов пользователей, Flickr всегда являлся высокоприоритетной целью для киберпреступников. Сайт оказался уязвим к межсайтовым подделкам запросов (CSRF). Этот вид бреши может с легкостью эксплуатироваться хакерами.

17-летний программист из Ирака Абдулла Хусам (Abdullah Hussam) обнаружил уязвимость, модифицировав параметры HTTP-запроса в Flickr, заставив сайт изменить изображения профиля пользователя.

Когда пользователь загружает фотографию на сайт, происходит перенаправление на страницу, где можно добавить информацию об изображении. В запросе используется параметр magic_cookie, который Flickr применяет для защиты пользователей от CSRF-атак. Именно этот параметр и оказался уязвимым, как говорит Хусам.

Чтобы проэксплуатировать эту брешь, злоумышленнику достаточно создать web-страницу, ссылающуюся на Flickr. Оставив параметр magic_cookie пустым и изменив идентификатор фотографии, хакер обойдет систему защиты сайта и вынудит его изменить картинку профиля пользователя на любую другую.

Подросток сообщил администрации сайта об обнаруженной уязвимости. В течение 12 часов разработчики исправили брешь.


  Источник: securitylab.ru
 



Поделиться с друзьями:


Другие новости по теме
 
Вы не авторизованный пользователь. Чтобы воспользоваться всеми возможностями сайта, зарегистрируйтесь.
 

Комментарии

Добавление комментария
Ваше имя
Ваш Email
Код Включите эту картинку для отображения кода безопасности
обновить код
Введите код