Một nhà phát triển web người Palestin, cũng được biết đến là một tay hacker có tiếng, Khalil Shreateh vừa tìm thấy một lỗi thú vị trên Facebook, lỗi này cho phép hacker vượt qua những thiết lập bảo mật để đăng tải một bài viết lên Wall/Timeline của bất kỳ tài khoản Facebook nào, kể cả chưa kết bạn. Cụ thể, Facebook có cung cấp tính năng cho phép người dùng tùy chỉnh những nội dung nào, của ai được phép hiển thị trên trang cá nhân của mình, nhưng thông qua lỗi này, những thiết lập đó sẽ trở nên vô giá trị.
Theo báo cáo của Shreateh, lỗi này tồn tại trên tập tin composer.php. Và anh đã thử khai thác lỗi bằng cách đăng một bài viết lên Timeline của cô gái có tên Sarah Gooden, đây là một người đã học cùng trường đại học với CEO Facebook, Mark Zuckerberg.
Một đoạn mã trong quá trình khai thác lỗi.
Sau khi sửa code, Shreateh sử dụng chế độ đăng bài lên trang cá nhân của mình, nhưng thực tế bài viết sẽ lên Timeline của nạn nhân.
Sau khi nhận được báo cáo đầy đủ của Shreateh, một kỹ sư bảo mật của Facebook đã xác nhận đây là một lỗi, nhưng nói thêm rằng, Shreateh sẽ không được trả thưởng vì hành động của anh ấy đã vi phạm các điều khoản bảo mật của trang web. Trước đây, Facebook từng công bố sẽ tặng ít nhất 500USD cho người phát hiện được lỗi còn tồn tại trên dịch vụ này, nhưng có điều kiện là không được công khai thông tin về lỗi đó.
Không có nhận xét nào:
Đăng nhận xét