俄罗斯安全研究员Kamil Hismatullin近日发现YouTube存在逻辑漏洞,通过该漏洞,用户可删除YouTube中的任意视频。在将漏洞提交官方后,Hismatullin获得了谷歌5000美元的奖金。
在寻找YouTube造物主工作室跨站点脚本(XSS)及跨站点请求伪造(CSRF)漏洞的时候,Hismatullin偶然发现了一个可以删除任何视频的逻辑漏洞,攻击者只需针对任一会话令牌发送一条任何视频的识别代码就可以删除这一视频。也就是说,攻击者可以利用该漏洞轻松地删除任何YouTube视频。
Hismatullin将自己利用漏洞删除YouTube视频的过程录制下来,传到了YouTube上。Hismatullin将漏洞提交给谷歌公司(YouTube也是谷歌旗下的网站)后,谷歌仅几个小时内便将问题解决,同时给予了Hismatullin 5000美金的漏洞奖励。
在寻找YouTube造物主工作室跨站点脚本(XSS)及跨站点请求伪造(CSRF)漏洞的时候,Hismatullin偶然发现了一个可以删除任何视频的逻辑漏洞,攻击者只需针对任一会话令牌发送一条任何视频的识别代码就可以删除这一视频。也就是说,攻击者可以利用该漏洞轻松地删除任何YouTube视频。
Hismatullin将自己利用漏洞删除YouTube视频的过程录制下来,传到了YouTube上。Hismatullin将漏洞提交给谷歌公司(YouTube也是谷歌旗下的网站)后,谷歌仅几个小时内便将问题解决,同时给予了Hismatullin 5000美金的漏洞奖励。
还没有评论,来说两句吧...