入侵YouTube获取视频上的虚假评论

 

就在几周前，我们报道了YouTube中的一个简单的逻辑漏洞，任何人都可以利用该漏洞在一个瞬间从YouTube上删除任何视频。

 

 

同样，这个流行的视频分享网站中的一个小把戏可以让任何人玩用户在YouTube视频上发布的评论。

艾哈迈德·阿布勒·埃拉和易卜拉欣·M·赛义德两位埃及安全研究员发现了一个简单的技巧，可以让他将流行视频分享网站上任何视频的任何评论复制到自己的视频中，即使没有任何用户交互。

 

 

此漏洞允许您从任何YouTube频道欺骗、复制或复制讨论板上的评论，并将其显示为视频上的评论或YouTube频道讨论板上的评论。

 

 

在测试评论评论功能时，研究人员注意到，发布到YouTube上任何视频上的评论都可以由该YouTube频道的作者控制，方法是在发布之前将设置更改为“保留所有评论以供审查”。

启用此选项后，不同用户在视频上发布的所有评论都将列在上的新选项卡中可以选择批准或删除它。

 

 

当您批准任何列出的评论并拦截HTTP请求时，您会发现评论id还有视频识别码在POST参数中。

 

如果你改变主意视频识别码有什么明显的区别吗视频识别码值，您将得到一个错误。

 

 

如果你只改变评论id对于任何YouTube视频上的任何其他评论，保留视频识别码未被触动的请求将被YouTube接受，评论将出现在YouTube视频上。

 

然而，这并不会从原始视频中删除原始评论，甚至评论作者也不会得到通知，他的评论被复制到另一个视频中。

 

你也可以看电视视频演示YouTube漏洞的详细信息如下：

当然，在研究人员向谷歌报告后，该漏洞已被修复。这家搜索引擎巨头还支付了Aboul Ela a现金奖励3133.7美元根据其缺陷奖励计划，发现并向公司报告关键问题。