請選擇 進入手機版 | 繼續訪問電腦版

微剋多資訊

 找回密碼
 註冊

Login

搜索

該用戶從未簽到

發表於 2013-9-4 17:56 | 顯示全部樓層 |閱讀模式
Facebook嚴重漏洞曝光:任何照片都可被刪除
鉅亨網新聞中心 (來源:北美新浪) 2013-09-03 21:32:54

新浪科技訊 北京時間9月3日早間消息,據美國網站sophos報導,一名自稱為「有志於道德黑客行為的安全熱心者」的印度電子和通信工程師表示,他已發現了Facebook的一個漏洞,這個漏洞允許該網站上的任何照片在其所有者不知情的情況下被刪除。

這位21歲的工程師名叫艾魯爾·庫馬爾(Arul Kumar),來自於印度南部的泰米爾納德邦,他稱其發現可在一分鐘內刪除Facebook網站上的任何照片,而無需與用戶進行任何互動,即使是在經過認證的頁面上也是如此。庫馬爾已將這個漏洞上報給Facebook,並因此獲得了1.25萬美元的獎金。

這個漏洞是庫馬爾在對移動版Facabook Support Dashboard進行研究後發現的,這個門戶允許用戶追蹤向Facebook網站提交的任何報告的進展,包括用戶認為哪些照片應被刪除等。當用戶提交這種申請而Facebook並未刪除可疑照片時,用戶可選擇直接向圖片所有者發送刪除照片的請求。這樣做的結果是,Facebook會生成一個照片刪除連結,該連結隨後會被發送給信息接收者(即照片所有人),接收者可點擊連結以刪除照片。

庫馬爾發現,在這種信息中有兩個參數很容易被修改,分別是「 photo_id」和「Owners Profile_id」。通過改變這兩個參數,庫馬爾可以選擇刪除Facebook網站上的任何照片。在這一過程中,照片被刪的用戶不會以任何方式參與其中,而且也不會收到來自Facebook的任何信息。事實上,只有當用戶登錄以後發現自己的照片消失了才會知道。

庫馬爾解釋稱,這個漏洞可被用來刪除任何已認證用戶、頁面或群組的照片,以及來自於狀態信息、相簿、推薦帖子甚至是評論中的照片。

庫馬爾將這一漏洞的細節發給了Facebook安全團隊,後者一開始不能通過他所的方法來刪除任何照片。隨後,庫馬爾又使用一個演示帳號來對這個漏洞進行了明,此外還向Facebook發出了一段概念視頻作為證據,以證明他可以從馬克·扎克伯格(Mark Zuckerberg)的相簿中刪除後者自己的照片。這一次Facebook安全團隊的一名成員證實確實存在該漏洞,並表示將在「明天早上的某個時候」作出修復。(唐風)

該用戶從未簽到

發表於 2013-9-4 18:22 | 顯示全部樓層
FACEBOOK的漏洞都好大
上次是可以直接在不認識的人身上發文
這次是可以任意刪除照片

下次該不會有可以強迫家好友還是強制刪除帳戶的BUG出現吧

使用道具

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

Discuz! X

© 2009-2017 Microduo

快速回覆 返回頂部 返回列表