返回

PornHub向黑客支付2万美元,以在其网站上发现零日漏洞

发布时间:2022-03-16 02:55:52 463
Bugs Bounty program


P*rnHub两个月前启动了漏洞赏金计划,鼓励黑客和漏洞赏金猎人发现并负责任地报告其服务中的漏洞,并获得奖励。

现在,世界上最受欢迎的p*rn*graphics该网站已经支付了第一笔赏金。但是多少钱?

2万美元!

P*rnHub已经向一个由三名研究人员组成的团队支付了20000美元的bug赏金,他们利用PHP中的零天漏洞在其服务器上获得了远程代码执行(RCE)功能–;驱动程序的编程语言P*rnHub网站。

由三名研究人员组成的团队,Dario Weißer(@haxonaut)、cutz和Ruslan Habalov(@evonide),在释放漏洞后发现了两种用法(CVE-2016-5771/CVE-2016-5773)在PHP的垃圾收集算法中,当它与其他PHP对象交互时。

其中之一是PHP在网站上的unserialize功能,它可以处理用户在多个路径上上传的数据,如热门图片,包括:
  • https://www.P*rnH*b.com/album_上传/创建
  • https://www.P*rnH*b.com/上传/照片
这一零日缺陷让研究人员能够泄露服务器POST数据的地址,从而制造恶意负载,从而在P*rnHub的服务器上执行恶意代码。

黑客行为非常复杂,需要大量的工作,这就使得P*rnHub的/etc/passwd文件的良好视图,“允许团队执行命令,让PHP运行恶意系统调用。

PHP zero day漏洞会影响5.3及更高版本的所有PHP,不过PHP项目已经解决了这个问题。

黑客可能会让团队放弃所有P*rnHub数据包括用户信息、跟踪用户和观察行为、披露共同托管网站的所有源代码、深入网络并获得root权限。

P*rnHub为他们难以置信的努力支付了2万美元,互联网漏洞赏金HackerOne还为研究人员发现PHP zero days额外支付了2000美元。

复杂的黑客攻击P*rnHub的服务器,使团队能够完全访问整个P*rnHub数据库已经在两篇非常详细的博客文章中进行了解释。你可以直接问他们这次攻击的技术细节。

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线