flickr

Məşhur şəkillərin saxlanılması və baxılması üçün nəzərdə tutulmuş Flickr saytında 17 yaşlı İraqlı yeniyetmə Abdullah Hussam tərəfindən boşluq aşkarlanmışdır. Boşluqdan istifadə edərək cinayətkar qurbanın profil şəklini dəyişə bilirmiş.

87 milyon istifadəçiyə xidmət göstərən Flickr daim kibercinayətkarlar üçün yüksək prioritetli hədəf çevrilib. Saytda saytlar arası sorğu boşluğu (CSRF) aşkarlanmışdır. Bu boşluq hakerlər tərəfindən çox asanlıqla istifadə edilə bilərdi.

İstifadəçi sayta şəkillər əlavə edərkən sayt onu başqa bir səhifəyə yönəldir ki, istifadəçi bu səhifədə şəkil haqqında informasiya yerləşdirir. Bu sorğuda magic_cookie parametrindən istifadə edən Flickr saytını CSRF- hücumdan müdafiə edir. Hussamın sözlərinə görə elə bu parametrdə boşluq aşkarlanmışdır.

Boşluqdan istifadə etmək üçün cinayətkar bir səhifə yaradaraq onu Flickr saytına yönəltməlidir. Səhifədə magic_cookie boş saxlayaraq fotonun identifikatırını dəyişməklə, saytın müdafiə sistemini keçəcək və istifadəçinin profil şəklini asanlıqla dəyişəcəkdir.

Yeniyetmə boşluq barədə saytin inzibatçılarına xəbər verdikdən 12 saat sonra boşluq aradan qaldırılmışdır.

Mənbə: www.securitylab.ru