المعلم التقنيحماية
ثغرة جديدة في فايسبوك من مطور إيراني ينال عليها 10.000 دولار مكافئة
إذا كنت تعتقد أن موقع ويب قيمته أكثر من 500 مليار دولار ليس به أي ضعف فأنت مخطئ.
بويا دارابي (Pouya Darabi)، وهو مطور شبكة أنترنت إيراني ، كان له مساهمات عدة في اكتشاف ثغرات سابقة بموقع ” فايسبوك ” ، وثمن هذه الجهود بتبليغ فردي على احدى الثغرات في التحديث الجديد الذي وضعته فايسبوك الشهر الماضي بخصوص استطلاعات الرأي في وسائل الإعلام الاجتماعية (الرسوم والصيغ المتحركة Gif) .
حلل دارابي هذه الميزة ، ووجد أنه عند إنشاء استطلاع جديد، يمكن لأي شخص بسهولة استبدال معرف الصورة (أو عنوان Url Gif) في الطلب المرسل إلى خادم الفيسبوك مع معرف صورة أي صورة على شبكة وسائل الاعلام الاجتماعية.
فكلما حاول مستخدم إنشاء استطلاع ، سيتم إرسال طلب يحتوي على عنوان Url لصورة Gif أو معرف صورة ، حيث يحتوي [poll_question_data [أوبتيونس] [] [associate_image_id] على معرف الصورة الذي تم تحميله”. “عندما تتغير قيمة هذا الحقل إلى أي معرف صور أخرى، سيتم عرض تلك الصورة في الاستطلاع.
فإذا حذف منشئ الاستطلاع هذه المشاركة (استطلاع الرأي)، كما هو موضح في الفيديو أعلاه، فسيؤدي ذلك في النهاية إلى حذف الصورة المصدر، التي تمت إضافة معرف الصورة إليها إلى الطلب – حتى إذا لم يكن منشئ الاستطلاع يملك تلك الصورة.
و تلقى ” بويا دارابي ” 10.000 $ مكافأة من فايسبوك بعد أن أبلغ مسؤول عن هذه الثغرة .
