FOSSBYTES TECH SIMPLIFIED LOGO
A bộ ba nhà nghiên cứu – Dario Weißer (@haxonaut), Cutz và Ruslan Habalov (@evonide) – đã giành được giải thưởng tiền mặt 20.000 đô la trong chương trình tiền thưởng lỗi cho việc tìm ra lỗ hổng Zero Day trên trang web của họ.

“Trong khi kiểm tra Pornhub, chúng tôi đã tình cờ xem được một số trang mà thông tin đầu vào của người dùng được đánh giá bằng cách phi số hóa và kết quả được phản ánh trở lại trang.” – viết Dario Weißer. Sau khi đào và thử nghiệm các lỗ hổng cũ trong quá trình phi công nghệ hóa, nhóm nghiên cứu đã cho rằng nhiệm vụ đó không phải là trò trẻ con. “Ý nghĩ đầu tiên là: OK, tại sao không chỉ tìm một 0 ngày mới ở chế độ phi công nghệ hóa?” và sau đó là Barney Stinson ở khắp nơi. “Không thể/điều đó/khó, thử thách được chấp nhận!”

Hàm unserialize được sử dụng để đảo ngược một chuỗi PHP thành một đối tượng PHP. Trên PornHub, chức năng unserialize chịu trách nhiệm quản lý dữ liệu do người dùng tải lên như album ảnh. Ví dụ:

https://www.pornhub.com/album_upload/create

https://www.pornhub.com/uploading/photo

Với động lực để tìm ra một lỗ hổng mới trong PHP Zero Day trong quá trình phi thương mại hóa và số tiền thưởng $ 20,000 sô cô la đang chờ họ trên sân khấu, bộ ba – đã quyết định viết một chiếc máy bay để kiểm tra sơ hở mã của Pornhub.

“Chúng tôi đã tìm thấy hai lỗ hổng sử dụng sau khi miễn phí trong thuật toán thu thập rác của PHP,” Ruslan Habalov trong bài đăng.

Các lỗ hổng Zero Day được các nhà nghiên cứu phát hiện có thể khiến chúng có khả năng truy cập dữ liệu của người dùng, theo dõi chúng, tiết lộ mã nguồn của các trang web đồng lưu trữ và thậm chí có được đặc quyền root. Họ cũng nhận được giải thưởng 2.000 đô la từ Hackerone.

Nếu bạn có điều gì cần bổ sung, hãy cho chúng tôi biết trong phần bình luận bên dưới.

Xem thêm: Cuộc tấn công DDoS lớn nhất là 579Gbps ​​trong nửa đầu năm 2016

This post is also available in: Spanish German Tiếng Việt Italian Indonesian

LEAVE A REPLY

Please enter your comment!
Please enter your name here