want to advertise here $100 / views

Apr 17, 2015

Hacking YouTube untuk mendapatkan komentar palsu pada video

Seorang peneliti keamanan telah menemukan kerentanan kritis di Google milik YouTube yang dapat memungkinkan orang untuk membuat komentar yang diposting oleh selebriti atau tokoh masyarakat pada beberapa video yang muncul di YouTube sendiri video yang YouTube, meniru selebriti itu.

Hanya beberapa minggu yang lalu kami melaporkan tentang kerentanan logis sederhana di YouTube yang bisa dimanfaatkan oleh siapa saja untuk menghapus video dari YouTube hanya dalam satu tembakan.

sekarang:

Sekali lagi trik kecil di situs berbagi video populer dapat memungkinkan orang untuk bermain dengan komentar-komentar yang diposting oleh pengguna pada video YouTube.

Ahmed Aboul-Ela dan Ibrahim M. El-Sayed, dua peneliti keamanan Mesir, menemukan trik sederhana yang memungkinkan dia untuk menyalin setiap komentar dari video apapun di situs berbagi video populer ke video, bahkan tanpa interaksi pengguna.

Tidak hanya itu, tetapi juga:
Kerentanan ini memungkinkan Anda untuk menipu, menduplikasi atau menyalin komentar di forum diskusi dari setiap channel YouTube dan membuatnya tampak seperti komentar pada video atau sebagai komentar pada papan diskusi saluran YouTube Anda.

Bagaimana ini bisa terjadi?
Sementara pengujian komentar fitur meninjau, pemberitahuan peneliti yang komentar diposting ke video di YouTube dapat dikontrol oleh penulis bahwa saluran YouTube dengan mengubah pengaturan untuk "Tahan semua komentar untuk ulasan" sebelum jadi diposting.

pc

Setelah mengaktifkan opsi ini, semua komentar yang diposting oleh pengguna yang berbeda pada video Anda akan terdaftar di tab baru pada www.youtube.com/comments dengan opsi untuk menyetujui atau menghapusnya.

sekarang:

Ketika Anda menyetujui komentar yang terdaftar dan mencegat permintaan HTTP, Anda akan menemukan comment_id dan video_id dalam parameter POST.

Jika Anda mengubah video_id dengan nilai apapun video_id yang berbeda, Anda akan mendapatkan error.

Tapi, Inilah yang terjadi:

Jika Anda hanya mengubah comment_id ke nilai comment_id lain pada setiap video YouTube, menjaga video_id tersentuh, permintaan akan mendapatkan diterima oleh YouTube, dan komentar akan muncul di video YouTube Anda.

Namun, hal ini tidak menghapus komentar asli dari video asli dan bahkan penulis komentar tidak mendapatkan pemberitahuan bahwa komentarnya disalin ke video lain.

Anda juga dapat menonton video demonstrasi dari kerentanan YouTube di bawah ini:



Tentu saja, kerentanan telah diperbaiki setelah peneliti melaporkan ke Google. Raksasa mesin pencari juga membayar Aboul-Ela hadiah uang tunai sebesar $ 3,133.7 di bawah skema karunia bug untuk menemukan dan melaporkan masalah penting untuk perusahaan.

Sources: The hacker News

Artikel Terkait

0komentar:

Post a Comment