一位印度電子工程師發(fā)現(xiàn)了Facebook的又一漏洞。利用這一漏洞,用戶可以在所有者不知情的情況下刪除其賬戶內的任何照片,無需任何用戶交互。這名工程師叫做阿魯爾?庫馬爾,21歲來自泰米爾納德邦。庫馬爾將收到Facebook的白帽錯誤賞金計劃的12500美元獎勵。
他發(fā)現(xiàn)的漏洞藏匿于Facebook移動版的控制面板。這一程序允許用戶跟蹤他們對Facebook賬戶的任何操作。其中包括顯示需要被刪除的照片。當用戶提交刪除請求,這一程序會將刪除鏈接轉發(fā)給用戶,由用戶決定是否刪除。但是問題就出現(xiàn)在這一鏈接上。
庫馬爾發(fā)現(xiàn),此鏈接的參數(shù)包含“photo_id”和“profile_id”,所以好事者可以修改他們。然后,點擊鏈接Facebook就會執(zhí)行刪除命令。但是如果photo_id被修改為其他用戶照片,那么照片刪除請求就會在這一照片上執(zhí)行。
庫馬爾利用他控制的另一個賬戶,驗證了這一想法。庫馬爾可以刪除任何用戶的任意照片。而受害者只有在查看照片時,才會發(fā)現(xiàn)它消失了。庫馬爾表示,該漏洞可以被用來從任何用戶頁面或群組,以及狀態(tài)、相冊、位置和留言部分刪除照片。
推薦閱讀
科技博客AllthingsD今天撰文評論目前大熱的植物大戰(zhàn)僵尸2的免費模式陷>>>詳細閱讀
地址:http://m.sdlzkt.com/a/05/20130903/285979.html
網友點評
精彩導讀
科技快報
品牌展示