Как стать автором
Обновить

Как удалить 1500000 записей из базы данных Yahoo

Время на прочтение1 мин
Количество просмотров19K
Автор оригинала: Sudhir K Bansal
На четвертом по посещаемости сайте — Yahoo.com, была обнаружена очередная уязвимость, на этот раз на поддомене suggestions.yahoo.com. Эта уязвимость позволяет злоумышленнику удалить всю ленту доски предложений (Yahoo Suggestion Board), а так же все комментарии к ней.




Ибрагим Раафат (Ibrahim Raafat), специалист по информационной безопасности, обнаружил уязвимость типа 'Небезопасная прямая ссылка на объект' на одном из поддоменов сайта Yahoo. Пользуясь уязвимостью пользовательских привилегий, атакующий мог бы удалить более 365 000 сообщений и 1155000 комментария из базы данных раздела предложений по совершенствованию сайта Yahoo.

Технические подробности


В процессе удаления своего комментария, Ибрагим обратил внимание на HTTP заголовок. POST запрос выглядел следующим образом:

prop=addressbook&fid=367443&crumb=Q4.PSLBfBe.&cid=1236547890&cmd=delete_comment

Где параметр 'fid' — ID топика, а 'cid' — ID комментария. Выяснилось, что изменение значений ID топика и комментария позволяет удалить соответствующий комментарий, написанный другим пользователем.

Далее был протестирован механизм удаления топика, в следствии чего была найдена схожая лазейка. HTTP заголовок запроса удаления топика выглядит так:

POST cmd=delete_item&crumb=SbWqLz.LDP0

Выяснилось, что добавление fid (ID топика) переменной в URL позволяет удалять посты, написанные другим автором. Например:

POST cmd=delete_item&crumb=SbWqLz.LDP0&fid=xxxxxxxx

Таким образом, любой недоброжелательно настроенный программист мог написать скрипт, что привело бы к удалению всех предложений и комментариев к ним. Об уязвимости было сообщено в отдел безопасности Yahoo, на данный момент ее профиксили.

Видео-презентация уязвимости:

Теги:
Хабы:
Всего голосов 46: ↑38 и ↓8+30
Комментарии20

Публикации

Истории

Работа

Ближайшие события

2 – 18 декабря
Yandex DataLens Festival 2024
МоскваОнлайн
11 – 13 декабря
Международная конференция по AI/ML «AI Journey»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань