This is a mobile optimized page that loads fast, if you want to load the real page, click this text.

Lỗ hổng của Facebook cho phép bất kỳ ai cũng có thể xóa được hình ảnh của bạn

Administrator

Administrator

Một hệ thống có giá trị lớn và khổng lồ như Facebook vẫn tồn tại những lỗ hổng , nhiều khi những lỗ hổng này khá đơn giản mà khá nghiêm trọng.

Trong thời gian gần đây trang web của Facebook liên tục cập nhật các thuật toán mới để nâng cấp hệ thống cũng như vá các lỗ hổng . Tuy nhiên trang web khổng lồ trị giá hàng trăm tỷ đô la này đã được Pouya Darabi, một nhà phát triển web của Iran, phát hiện và báo cáo một lỗ hổng đơn giản nhưng quan trọng ở Facebook vào đầu tháng 11 . Lỗ hổng này có thể cho phép bất cứ ai xóa bất kỳ bức ảnh nào từ nền tảng Facebook.

Lỗ hổng lần này nằm trong tính năng tạo ý kiến thăm dò (Poll) của Facebook, tính năng này được Facebook kích hoạt vào đầu tháng 11 , người dùng có thể tạo các cuộc thăm dò bằng hình ảnh và hình động GIF.

Darabi đã phân tích tính năng này và nhận thấy rằng khi tạo một cuộc thăm dò mới, bất cứ ai cũng có thể dễ dàng thay thế ID hình ảnh (hoặc URL gif) khi gửi yêu cầu tới máy chủ Facebook.


Bạn có thể xem video minh họa dưới đây



Khi người dùng cố gắng tạo một cuộc thăm dò ý kiến , một yêu cầu chứa đường dẫn URL ảnh Gif hoặc ID hình ảnh sẽ được gửi tới trường poll_question_data[options][][associated_image_id] chứa ID hình ảnh đã được Upload. Trường giá trị này có thể được thay đổi bởi bất kỳ ID hình ảnh nào khác sẽ xuất hiện trong cuộc thăm dò ý kiến.

Tức là nếu người tạo cuộc thăm dò ý kiến xóa bài đăng có chưa ID hình ảnh đó thì hình ảnh gốc cũng bị xóa theo .Ngay cả khi người tạo cuộc thăm dò ý kiến không sở hữu hình ảnh gốc đó.

Nhờ phát hiện này Darabi nhận được một khoản tiền thưởng trị giá 10k USD từ Facebook. Anh ta thông báo lỗi này cho facebook vào ngày 03/11 và đến ngày 05/11 lỗi này đã được Facebook vá.

Đây không phải là lần đầu tiên Facebook gặp phải các vấn đề như thế này. Trước đây,nhiều người đã phát hiện và báo cáo nhiều lỗi như phép người dùng xóa video, album ảnh , nhận xét và sửa đổi tin nhắn từ Facebook.

Darabi từng nhận được khoản thưởng trị giá 15.000 USD khi vượt qua được hệ thống bảo mật cross-site (CSRF) (năm 2015) và 7,500 đô la khác cho một vấn đề tương tự (năm 2016).

Đinh Quang Vinh nguồn