(НЕ)Ідеальний Facebook

19.12.2016

Дослідник знайшов баг, який дозволяє видалити з FACEBOOK будь-яке відео.

Спеціаліст з безпеки Пранав Хіварекар (Pranav Hivarekar) розповів у своєму блозі, що на початку червня 2016 року він знайшов місце враження в Facebook. Баг дозволяв видалити із соціальної мережі будь-яке відео, недивлячись на те, кому воно належить.

Проблема, яку знайшов дослідник, виникла через нову функцію, яку розробники Facebook представили на початку червня. Ця функція дозволяє розміщувати відео прямо в коментарях до постів.

Хіварекар помітив, що вставка відеороликів в коментарі відбувається, базуючись на ID вдео. Вивчивши роботу API, дослідник зрозумів, що з легкістю може видалити із соціальної мережі абсолютно будь-який ролик.

Для видалення чужого відео достатньо було написати коментар, додавши до нього відеоролик, тобто використавши чужий video-id. Потім потрібно було видалити цей коментар. Через помилку разом з коментарем видалялось і саме відео. Справа в тому, що під час видалення Facebook не перевіряв, якому саме користувачеві належить відеоролик, і хто його завантажив. Видалення будь-якого коментаря, який містив певний video-id, розцінювалось як видалення самого відео. Тобто розробники соціальної мережі думали, що користувачі будуть завантажувати і додавати до коментарів виключно власні відеозаписи.

«Даний баг швидше демонструє вразливість в логіці, аніж стосується вразливості типу RCE, SSRF і так далі, які ми бачимо щодня», — пише дослідник.

Дослідник повідомив Facebook про проблему 11 червня 2016 року, через два дні після додання нової функції. Для першого усунення бага розробникам Facebook знадобилось всього 23 хвилини, а через 11 годин вийшов повноцінний патч.

Хіварекар пише, що отримав п’ятизначну винагороду по програмі bug bounty за виявлення даної проблеми.

Цікаво, скільки ще багів можна знайти у популярних соцмережах, досліджуючи їх професійним оком Тест-Інженера?

12 вересня ми розпочинаємо новий курс з тестування, особливістю якого стане робота над власним проектом під пильним наглядом викладача. Ви зможете безпосередньо зануритись в процес тестування та зрозумієте особливості роботи QA Engineer.