Kamil Hismatullin berusaha untuk mencari kerentanan keamanan di YouTube untuk memenangkan hadiah uang tunai bahwa Google memberikan kepada peneliti.
"Saya ingin menemukan ada beberapa masalah CSRF atau XSS, namun tiba-tiba menemukan bug logis yang memungkinkan saya untuk menghapus video apapun di YouTube dengan hanya satu permintaan," kata Hismatullin.
Ia menemukan bahwa jika itu sangat mudah untuk menipu Sistem YouTube dan menghapus video dari server dengan mudah. Dia juga menunjukkan bagaimana ia berhasil menghapus video dari YouTube dalam video di bawah ini.
Video di atas menekankan bahwa YouTube memiliki cacat dan mungkin ada masalah lebih seperti ini menunggu seseorang untuk menemukan mereka. Jika Kamil telah dihapus setiap video dari orang terkenal maka Google mungkin tidak membayarnya. Jadi dia memutuskan untuk tidak melakukannya.
Ini adalah permintaan POST rentan yang Hismatullin ditemukan di YouTube:
POST – https://www[]youtube[]com/live_events_edit_status_ajax?action_delete_live_event=1
.
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN
Bagian kunci ada "delete_live_event." Untuk menghapus video dari YouTube, semua Hismatullin harus lakukan adalah mengisi ID dari video YouTube, dan YouTube akan menghapusnya tanpa memeriksa apakah dia benar-benar diperbolehkan.
0komentar:
Post a Comment