黑客如何只需点击一下就可以删除任何YouTube视频
相关标签: # 漏洞# 研究# 脚本# 攻击# 勒索
卡米尔·希马图林一名俄罗斯安全董事发现了一个简单的逻辑漏洞,使他能够一次性删除YouTube上的任何视频.
在寻找跨站点脚本(XSS)或跨站点请求伪造(CSRF)在YouTube Creator Studio中,Hismatullin遇到了一个简单的逻辑错误,它可以通过发送post请求中任何视频的身份号来删除任何视频,而不需要任何会话令牌。
该漏洞很简单,但很关键,因为攻击者可以利用它轻易欺骗YouTube删除其系统上的任何视频。
“我一直在抵制删除比伯频道的冲动,”希斯马图林在他的博客文章中写道。“幸运的是,比伯的视频没有受到伤害。”
希斯马图林援引这一问题的后果说“这个漏洞可能会在几分钟内在[攻击者]手中造成彻底的破坏,他们可能会勒索他人,或者[只是]在很短的时间内删除大量视频,从而扰乱YouTube。”
研究人员向谷歌报告了这个漏洞,搜索引擎巨头在几个小时内解决了这个问题。希斯马图林赢了5000美元现金奖励
一个多月前,Facebook自己的系统中报告了一个类似的漏洞,攻击者可以利用该漏洞从任何人的Facebook帐户中删除任何照片。然而,这家社交网络巨头解决了一个相对简单的问题。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
