Популярный web-сайт Flickr, предназначенный для хранения и просмотра фотографий, оказался подверженным уязвимости , позволяющей взломщикам изменять изображение профиля жертвы.
Обслуживая более 87 миллионов пользователей, Flickr всегда являлся высокоприоритетной целью для киберпреступников. Сайт оказался уязвим к межсайтовым подделкам запросов (CSRF). Этот вид бреши может с легкостью эксплуатироваться хакерами.
17-летний программист из Ирака Абдулла Хусам (Abdullah Hussam) обнаружил уязвимость, модифицировав параметры HTTP-запроса в Flickr, заставив сайт изменить изображения профиля пользователя.
Когда пользователь загружает фотографию на сайт, происходит перенаправление на страницу, где можно добавить информацию об изображении. В запросе используется параметр magic_cookie, который Flickr применяет для защиты пользователей от CSRF-атак. Именно этот параметр и оказался уязвимым, как говорит Хусам.
Чтобы проэксплуатировать эту брешь, злоумышленнику достаточно создать web-страницу, ссылающуюся на Flickr. Оставив параметр magic_cookie пустым и изменив идентификатор фотографии, хакер обойдет систему защиты сайта и вынудит его изменить картинку профиля пользователя на любую другую.
Подросток сообщил администрации сайта об обнаруженной уязвимости. В течение 12 часов разработчики исправили брешь.
Источник: SecurityLab
|
