16 669
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 669
/ContentUploads/A739/removed_youtube_video.jpg
Kattints ide  ➜

Bárki törölhette volna az összes YouTube‑videót

Kovács Donát2015.04.03. 00.01
Ugyan még április eleje van, de ennek a hírnek a fele se tréfa. Egy orosz biztonságtechnikai kutató felfedezett egy sebezhetőséget a YouTube rendszerében, amivel bárki törölhette volna akár az összes videót a világ leghíresebb videómegosztó portáljáról. Szerencsére ismét egy jóindulatú (etikus) hackerrel volt dolgunk, így a hibát azonnal jelentette a szolgáltató felé, aki a hibát rövid időn belül orvosolta, és a megtalálót, Kamil Hismatullint 5000 dollárral, körülbelül 1,4 millió forinttal jutalmazta.

Felmerülhet bennünk a kérdés, hogy hogyan derül fény ilyen és ehhez hasonló hibákra. A válaszért nem is kell messzire mennünk, hiszen Kamil Hismatullin beavatott minket a részletekbe. Elmondta, hogy néhány CSRF vagy XSS sebezhetőséget szeretett volna találni a YouTube rendszerében, de váratlanul felfedezett egy logikai hibát, amivel törölhette volna akár az összes videót egyetlen lekérdezéssel/kéréssel.

Ha egy kicsit jobban megnézzük, az eredeti elképzelése nem járt messze a végkifejlettől. A CSRF (Cross-Site Request Forgery) egy oldalon-keresztüli kéréshamisítás, ami logikában csak kicsit tér el a jóindulatú támadó végső megoldásától. Sajnos azzal kellett szembesülnie, hogy a YouTube rendszerét könnyű becsapni és rávenni a videók törlésére. Hismatullin demonstrálta is az általa feltárt hibát ebben a videóban:



A videó rávilágított arra, hogy a YouTube koránt sem sebezhetetlen és senki sem tudja, hogy még mennyi ilyen és ehhez hasonló hiba lehet a rendszerben, amik csak arra várnak, hogy valaki megtalálja őket. Remélhetőleg továbbra is jó indulatú hackerek fedezik fel ezeket, így elkerülve a YouTube esetleges globális összeomlását.

A hacker ezek után elárulta, hogy számára Justin Bieber csatornájának komplett videótára jelentette a legnagyobb kísértést, amit „szerencsére” le tudott küzdeni. Amennyiben törölte volna a csatorna összes videóját, a Google nem fizetett volna a hiba megtalálásáért. A hiba jelentését követően néhány órán belül a Google munkatársai már javították is a sebezhetőséget, így már remélhetőleg senki nem tud visszaélni ezzel.

Ez a sérülékenységi rés, amit Hismatullin használt: https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1

event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

A kulcs legfontosabb része a delete_live_event. Ahhoz, hogy letöröljön videókat, ki kellett töltenie a YouTube videó ID-ját, a rendszer pedig anélkül törölte azt, hogy a jogosultságot ellenőrizte volna.

Forrás: latesthackingnews.com
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Akksiproblémák mutatkoznak néhány MacBook Pro notebooknál
LEAGOO M8 ‑ Elindult az egyik legolcsóbb okostelefon előrendelési időszaka
Szellemek szállták meg és katonák lőtték szitává Budapestet
Telltale játék lesz a Guardians of the Galaxy
Feltörték az Apple Aktiválási zár funkcióját
A Nokia nagy visszatérése
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Ezek a jelenleg kapható legerősebb okostelefonok
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Ingyenes nCore regisztráció - Újabb csalók próbálkoznak
A Firefox 0-day sebezhetőségével leplezik le a Tor-felhasználókat
Állásajánlatok
Service Desk munkatárs
Teszt mérnök Veszprém
Lead- and Unit Process Manager Szeged
Tesztmérnök
Crossplatform Frontend Fejlesztő
Gyártástámogató mérnök
Junior Java fejlesztő