شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .
باشگاه کاربران روماک
پویا دارابی آسیب‌پذیری جدیدی در فیسبوک کشف کرد - نسخه‌ی قابل چاپ

+- باشگاه کاربران روماک (https://forum.romaak.ir)
+-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3)
+--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5)
+--- موضوع: پویا دارابی آسیب‌پذیری جدیدی در فیسبوک کشف کرد (/showthread.php?tid=4104)



پویا دارابی آسیب‌پذیری جدیدی در فیسبوک کشف کرد - mesterweb - ۹۶/۹/۸

پویا دارابی، برنامه نویس ایرانی مجددا موفق به کشف حفره‌ی امنیتی در سایت فیسبوک شد.

[تصویر:  do.php?img=4096]

اتفاقات اخیر نشان می‌دهد که حتی وب‌سایتی با ارزش ۵۰۰ میلیارد دلار نیز می‌تواند دارای حفره‌های امنیتی و آسیب‌پذیر باشد. پویا دارابی، برنامه‌نویس ایرانی، چندی پیش مشکلی امنیتی را کشف کرد که به واسطه‌ی آن می‌شد هر عکسی را از پلتفرم شبکه‌ی اجتماعی آسیب‌پذیر حذف کرد.

این شبکه‌ی اجتماعی آسیب‌پذیر، فیسبوک بود که با اضافه‌ کردن قابلیت نظرسنجی دچار این مشکل شده بود. به واسطه‌ی این مشکل، نظرسنجی‌هایی که شامل عکس و تصاویر متحرک GIF بودند در معرض آسیب قرار گرفتند.

دارابی متوجه شد که هنگام ایجاد یک نظرسنجی جدید، در کدهای درخواستی که به سرور فیسبوک ارسال می‌شود هر کسی می‌تواند به‌راحتی آی‌دی تصویر یا آدرس فایل GIF را به هر عکس دیگری در این شبکه‌ی اجتماعی تغییر دهد. بعد از ارسال درخواست با آی‌دی تصویر عوض‌شده، نظرسنجی مورد نظر با آن تصویر نمایش داده خواهد شد.

دارابی توضیح می‌دهد:
هروقت یک کاربر بخواهد نظرسنجی ایجاد کند، درخواستی حاوی یوآرال فایل GIF یا آی‌دی تصویر به شکل poll_question_data[options][][associated_image_id] ارسال می‌شود. وقتی مقادیر این فیلد به آیدی تصویر دیگری تغییر کند، آن تصویر در نظرسنجی به نمایش درخواهد آمد.

همان‌طور که در ویدیوی فوق می‌بینید، ظاهرا اگر ایجادکننده‌ی نظرسنجی آن را پاک کند، تصویری که آی‌دی آن در نظرسنجی قرار گرفته بود نیز پاک می‌شود؛ حتی اگر عکس متعلق به سازنده‌ی نظرسنجی نباشد.
پویا دارابی می‌گوید بعد از گزارش این آسیب‌پذیری به فیس‌بوک در سوم نوامبر، مبلغ ۱۰ هزار دلار پاداش دریافت کرده است. فیسبوک دو روز بعد، در پنجم نوامبر، مشکل را حل کرد.

این اولین بار نیست که فیسبوک دچار آسیب‌پذیری‌های امنیتی شده است. در گذشته نیز محققان مشکلاتی کشف کرده بودند که به کاربران اجازه‌ی حذف ویدیوها، آلبوم‌های عکس و حذف کامنت و ویرایش پیام‌ها را می‌داد.

دارابی پیش‌تر نیز به دلیل کشف مشکلات امنیتی پاداش‌هایی از فیسبوک دریافت کرده بود. این محقق در سال ۲۰۱۵ با عبور از سیستم حفاظتی CSRF در فیسبوک ۱۵ هزار دلار و در سال ۲۰۱۶ با کشف مشکلی مشابه ۷۵۰۰ دلار از فیسبوک پاداش گرفته بود.