أخبار أمن المعلومات

باحث امني يكتشف ثغرة خطيرة في الفيسبوك

قام الباحث الأمني Laxman Muthiyah بإكتشاف ثغرة خطيرة تسمح للمخترق بحذف اي البوم من البومات الصور على موقع التواصل الإجتماعي فيسبوك سواء على الحسابات الشخصية او المجموعات او على الصفحات بدون الحاجة لعملية التحقق من هوية المستخدم. هذه الثغرة كانت موجودة في خدمة Graph API التي توفرها شركة فيسبوك للمطوريبن.
 
حسب التوثيق الخاص بخدمة Graph API فإنه لا يمكن حذف اي البوم بواسطتها, لكن الباحث الامني وجد طريقة لحذف الالبومات التي لا تعود له وخلال بضع ثواني. حيث وجد بأن رمز الوصول (access token) الخاص به والذي يتم توليده من قبل تطبيق الموبايل الخاص بالفيسبوك يمكن استغلاله لحذف اي البوم صور لأي مستخدم او مجموعة او صفحة وذلك بإستخدام خدمة Graph API على الموقع graph.facebook.com .
 
ولكي يتم حذف هذا الألبوم فإن المخترق يحتاج فقط لإرسال طلب للويب بإستخدام خدمة Graph API يشمل رقم الألبوم المراد حذفه بالإضافة الى رمز الوصول الخاص به من تطبيق الموبايل. حيث ان شكل الطلب كالآتي :
 
facebook
 
يذكر بأن الباحث الأمني تم مكافئته من موقع فيسبوك بمبلغ 12.500 دولار على هذا الإكتشاف, و الفيديو التالي يبين استغلاله لهذه الثغرة :
 
 
لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

sixteen + 6 =

إغلاق