当前位置:安全资讯 >> 全文

Facebook又现bug 任何人可删除他人照片

发布时间:2017-11-28 13:26 标签: Facebook 照片
分享到 0

本月初,伊朗web开发员Pouya Darabi发现并向Facebook报告了一个严重漏洞,可导致任何人删除他人的照片。

该漏洞存在于Facebook在本月初新增的“Poll(民意调查)”功能中,用户可通过该功能发布包含图片和GIF动画的调查。Darabi分析了这个功能后发现,当用户创建一个新的民意调查后,任何人可轻易替换掉发给Facebook服务器的请求中的图像ID(或gif URL),取代原始图片出现在调查中。

显然,如果民意调查的创建人删除了帖子(即民意调查),那么最终会导致源图片也遭删除,即使创建者并不拥有该照片也不例外。

Darabi表示在113日将漏洞告知Facebook后获得1万美元的漏洞奖励金。Facebook115日修复该问题。

这并非Facebook首次面临类似问题。之前曾有研究人员发现并报告了多个能导致其他人删除视频、照片册、评论以及修改信息的漏洞。

Darabi此前还曾因为绕过FacebookCSRF防御机制而获得1.5万美元的奖励(2015年),并且在2016年因发现类似问题获得7500美元的问题。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://thehackernews.com/2017/11/facebook-delete-photos.html
参与讨论,请先 登录 | 注册

用户评论