白帽子发现YouTube任意视频删除漏洞,谷歌奖励5000美金

白帽子发现YouTube任意视频删除漏洞,谷歌奖励5000美金

俄罗斯安全研究员Kamil Hismatullin近日发现YouTube存在逻辑漏洞,通过该漏洞,用户可删除YouTube中的任意视频。在将漏洞提交官方后,Hismatullin获得了谷歌5000美元的奖金。

FreeBuf科普:谷歌漏洞研究资助计划

几个月之前,谷歌宣布了一项漏洞研究资助计划(Vulnerability Research Grants)。

他们挑选了一些安全研究人员并发邮件给他们:

白帽子发现YouTube任意视频删除漏洞,谷歌奖励5000美金

研究人员可以选择列表中项目进行漏洞检测。即使最终没有漏洞被发现,研究人员还是会因付出了精力和时间而获得1337美金的奖励。

YouTube视频任意删除漏洞

在寻找YouTube造物主工作室跨站点脚本(XSS)及跨站点请求伪造(CSRF)漏洞的时候,Hismatullin偶然发现了一个可以删除任何视频的逻辑漏洞,攻击者只需针对任一会话令牌发送一条任何视频的识别代码就可以删除这一视频。

也就是说,攻击者可以利用该漏洞轻松地删除任何YouTube视频。

Hismatullin将自己利用漏洞删除YouTube视频的过程录制下来,传到了YouTube上,题为“看我如何删除任意YouTube上的视频”。

白帽子发现YouTube任意视频删除漏洞,谷歌奖励5000美金

谷歌奖励5000美金,美国网友们觉得有点少

Hismatullin将漏洞提交给谷歌公司(YouTube也是谷歌旗下的网站)后,搜索巨擘仅几个小时内便将问题解决,同时给予了Hismatullin 5000美金的漏洞奖励。

有网友则愤慨:“他应该得到100000美金!!!”也有人理智分析:不是人人都具有黑客技能,因此这样的漏洞不会损害到的更深利益。

面对各种争论,Hismatullin大方回应:

“安全研究是我的爱好,我喜欢做我现在做的事情,不管报酬是多少。”

值得一提的是在几个月前,一名印度研究人员发现Facebook的系统中一个相似漏洞,攻击者可以利用该漏洞从任何人的Facebook账户中随意删除照片。最后该名研究人员获得了Facebook“漏洞奖励计划”提供的高达12500美元奖金。详情可参见Freebuf之前报道

*源自treatpost,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM

发表评论