برنامه نویس ایرانی آسیب‌پذیری جدیدی در فیسبوک کشف کرد

سه شنبه ۲۸ آذر ۱۳۹۶ تعداد بازدید 2250

برنامه‌نویس ایرانی، چندی پیش مشکلی امنیتی را کشف کرد که به واسطه‌ی آن می‌شد هر عکسی را از پلتفرم شبکه‌ی اجتماعی آسیب‌پذیر حذف کرد

برنامه نویس ایرانی آسیب‌پذیری جدیدی در فیسبوک کشف کرد

منبع: Thehackernews.com

اتفاقات اخیر نشان می‌دهد که حتی وب‌سایتی با ارزش ۵۰۰ میلیارد دلار نیز می‌تواند دارای حفره‌های امنیتی و آسیب‌پذیر باشد. پویا دارابی، برنامه‌نویس ایرانی، چندی پیش مشکلی امنیتی را کشف کرد که به واسطه‌ی آن می‌شد هر عکسی را از پلتفرم شبکه‌ی اجتماعی آسیب‌پذیر حذف کرد.

این شبکه‌ی اجتماعی آسیب‌پذیر، فیسبوک بود که با اضافه‌ کردن قابلیت نظرسنجی دچار این مشکل شده بود. به واسطه‌ی این مشکل، نظرسنجی‌هایی که شامل عکس و تصاویر متحرک GIF بودند در معرض آسیب قرار گرفتند.

دارابی متوجه شد که هنگام ایجاد یک نظرسنجی جدید، در کدهای درخواستی که به سرور فیسبوک ارسال می‌شود هر کسی می‌تواند به‌راحتی آی‌دی تصویر یا آدرس فایل GIF را به هر عکس دیگری در این شبکه‌ی اجتماعی تغییر دهد.

بعد از ارسال درخواست با آی‌دی تصویر عوض‌شده، نظرسنجی مورد نظر با آن تصویر نمایش داده خواهد شد.

 

دارابی توضیح می‌دهد:

هروقت یک کاربر بخواهد نظرسنجی ایجاد کند، درخواستی حاوی URL فایل GIF یا آی‌دی تصویر به شکل [poll_question_data[options][][associated_image_id] ارسال می‌شود. وقتی مقادیر این فیلد به آیدی تصویر دیگری تغییر کند، آن تصویر در نظرسنجی به نمایش درخواهد آمد.

پویا دارابی می‌گوید بعد از گزارش این آسیب‌پذیری به فیس‌بوک در سوم نوامبر، مبلغ ۱۰ هزار دلار پاداش دریافت کرده است. فیسبوک دو روز بعد، در پنجم نوامبر، مشکل را حل کرد.

این اولین بار نیست که فیسبوک دچار آسیب‌پذیری‌های امنیتی شده است. در گذشته نیز محققان مشکلاتی کشف کرده بودند که به کاربران اجازه‌ی حذف ویدیوها، آلبوم‌های عکس و حذف کامنت و ویرایش پیام‌ها را می‌داد.

دارابی پیش‌تر نیز به دلیل کشف مشکلات امنیتی پاداش‌هایی از فیسبوک دریافت کرده بود. این محقق در سال ۲۰۱۵ با عبور از سیستم حفاظتی CSRF در فیسبوک ۱۵ هزار دلار و در سال ۲۰۱۶ با کشف مشکلی مشابه ۷۵۰۰ دلار از فیسبوک پاداش گرفته بود.