أخبار أمن المعلومات

باحث امني يكتشف ثغرة خطيرة في الفيسبوك

قام الباحث الأمني Laxman Muthiyah بإكتشاف ثغرة خطيرة تسمح للمخترق بحذف اي البوم من البومات الصور على موقع التواصل الإجتماعي فيسبوك سواء على الحسابات الشخصية او المجموعات او على الصفحات بدون الحاجة لعملية التحقق من هوية المستخدم. هذه الثغرة كانت موجودة في خدمة Graph API التي توفرها شركة فيسبوك للمطوريبن.
 
حسب التوثيق الخاص بخدمة Graph API فإنه لا يمكن حذف اي البوم بواسطتها, لكن الباحث الامني وجد طريقة لحذف الالبومات التي لا تعود له وخلال بضع ثواني. حيث وجد بأن رمز الوصول (access token) الخاص به والذي يتم توليده من قبل تطبيق الموبايل الخاص بالفيسبوك يمكن استغلاله لحذف اي البوم صور لأي مستخدم او مجموعة او صفحة وذلك بإستخدام خدمة Graph API على الموقع graph.facebook.com .
 
ولكي يتم حذف هذا الألبوم فإن المخترق يحتاج فقط لإرسال طلب للويب بإستخدام خدمة Graph API يشمل رقم الألبوم المراد حذفه بالإضافة الى رمز الوصول الخاص به من تطبيق الموبايل. حيث ان شكل الطلب كالآتي :
 
facebook
 
يذكر بأن الباحث الأمني تم مكافئته من موقع فيسبوك بمبلغ 12.500 دولار على هذا الإكتشاف, و الفيديو التالي يبين استغلاله لهذه الثغرة :
 

 
لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

sixteen + 2 =

زر الذهاب إلى الأعلى
إغلاق