PornHub向黑客支付2万美元,以在其网站上发现零日漏洞
发布时间:2022-03-16 02:55:52 463
相关标签:

P*rnHub两个月前启动了漏洞赏金计划,鼓励黑客和漏洞赏金猎人发现并负责任地报告其服务中的漏洞,并获得奖励。
现在,世界上最受欢迎的p*rn*graphics该网站已经支付了第一笔赏金。但是多少钱?
2万美元!
对P*rnHub已经向一个由三名研究人员组成的团队支付了20000美元的bug赏金,他们利用PHP中的零天漏洞在其服务器上获得了远程代码执行(RCE)功能–;驱动程序的编程语言P*rnHub网站。
由三名研究人员组成的团队,Dario Weißer(@haxonaut)、cutz和Ruslan Habalov(@evonide),在释放漏洞后发现了两种用法(CVE-2016-5771/CVE-2016-5773)在PHP的垃圾收集算法中,当它与其他PHP对象交互时。
其中之一是PHP在网站上的unserialize功能,它可以处理用户在多个路径上上传的数据,如热门图片,包括:
- https://www.P*rnH*b.com/album_上传/创建
- https://www.P*rnH*b.com/上传/照片
黑客行为非常复杂,需要大量的工作,这就使得P*rnHub的/etc/passwd文件的良好视图,“允许团队执行命令,让PHP运行恶意系统调用。
PHP zero day漏洞会影响5.3及更高版本的所有PHP,不过PHP项目已经解决了这个问题。
黑客可能会让团队放弃所有P*rnHub数据包括用户信息、跟踪用户和观察行为、披露共同托管网站的所有源代码、深入网络并获得root权限。
P*rnHub为他们难以置信的努力支付了2万美元,互联网漏洞赏金HackerOne还为研究人员发现PHP zero days额外支付了2000美元。
复杂的黑客攻击P*rnHub的服务器,使团队能够完全访问整个P*rnHub数据库已经在两篇非常详细的博客文章中进行了解释。你可以直接问他们这次攻击的技术细节。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报