Kerentanan ditemukan di YouTube yang memungkinkan siapa saja untuk menghapus video seseorang

Seorang peneliti keamanan Rusia menemukan cacat dalam sistem YouTube yang memungkinkan siapa saja untuk menghapus video apapun di YouTube. Sekarang kerentanan  ini adalah tetap dan Google membayar peneliti jumlah $ 5000 untuk menemukan bug ini.

Kamil Hismatullin berusaha untuk mencari kerentanan keamanan di YouTube untuk memenangkan hadiah uang tunai bahwa Google memberikan kepada peneliti. 

"Saya ingin menemukan ada beberapa masalah CSRF atau XSS, namun tiba-tiba menemukan bug logis yang memungkinkan saya untuk menghapus video apapun di YouTube dengan hanya satu permintaan," kata Hismatullin. 

 Ia menemukan bahwa jika itu sangat mudah untuk menipu Sistem YouTube dan menghapus video dari server dengan mudah. Dia juga menunjukkan bagaimana ia berhasil menghapus video dari YouTube dalam video di bawah ini.

Video di atas menekankan bahwa YouTube memiliki cacat dan mungkin ada masalah lebih seperti ini menunggu seseorang untuk menemukan mereka. Jika Kamil telah dihapus setiap video dari orang terkenal maka Google mungkin tidak membayarnya. Jadi dia memutuskan untuk tidak melakukannya.

Ini adalah permintaan POST rentan yang Hismatullin ditemukan di YouTube:

POST  –  https://www[]youtube[]com/live_events_edit_status_ajax?action_delete_live_event=1

.

event_id: ANY_VIDEO_ID

session_token: YOUR_TOKEN

Bagian kunci ada "delete_live_event." Untuk menghapus video dari YouTube, semua Hismatullin harus lakukan adalah mengisi ID dari video YouTube, dan YouTube akan menghapusnya tanpa memeriksa apakah dia benar-benar diperbolehkan.

Artikel Terkait