白帽子发现YouTube任意视频删除漏洞,谷歌奖励5000美金

2015-04-03 +4 539399人围观 ,发现 49 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

俄罗斯安全研究员Kamil Hismatullin近日发现YouTube存在逻辑漏洞,通过该漏洞,用户可删除YouTube中的任意视频。在将漏洞提交官方后,Hismatullin获得了谷歌5000美元的奖金。

FreeBuf科普:谷歌漏洞研究资助计划

几个月之前,谷歌宣布了一项漏洞研究资助计划(Vulnerability Research Grants)。

他们挑选了一些安全研究人员并发邮件给他们:


研究人员可以选择列表中项目进行漏洞检测。即使最终没有漏洞被发现,研究人员还是会因付出了精力和时间而获得1337美金的奖励。

YouTube视频任意删除漏洞

在寻找YouTube造物主工作室跨站点脚本(XSS)及跨站点请求伪造(CSRF)漏洞的时候,Hismatullin偶然发现了一个可以删除任何视频的逻辑漏洞,攻击者只需针对任一会话令牌发送一条任何视频的识别代码就可以删除这一视频。

也就是说,攻击者可以利用该漏洞轻松地删除任何YouTube视频。

Hismatullin将自己利用漏洞删除YouTube视频的过程录制下来,传到了YouTube上,题为“看我如何删除任意YouTube上的视频”。

谷歌奖励5000美金,美国网友们觉得有点少

Hismatullin将漏洞提交给谷歌公司(YouTube也是谷歌旗下的网站)后,搜索巨擘仅几个小时内便将问题解决,同时给予了Hismatullin 5000美金的漏洞奖励。

有网友则愤慨:“他应该得到100000美金!!!”也有人理智分析:不是人人都具有黑客技能,因此这样的漏洞不会损害到的更深利益。

面对各种争论,Hismatullin大方回应:

“安全研究是我的爱好,我喜欢做我现在做的事情,不管报酬是多少。”

值得一提的是在几个月前,一名印度研究人员发现Facebook的系统中一个相似漏洞,攻击者可以利用该漏洞从任何人的Facebook账户中随意删除照片。最后该名研究人员获得了Facebook“漏洞奖励计划”提供的高达12500美元奖金。详情可参见Freebuf之前报道

*源自treatpost,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM

更多精彩
相关推荐

这些评论亮了

  • 刘德华 回复
    @ 吓尿了 我们白帽子只是为了互联网的安全作出贡献,哪里是你这种为了钱的人能所理解的。
    我们提交了漏洞自然有我们自己的白帽子光环,能让我们更有自信,因为我们就是白帽子!
    (剑心:哎,今天又有亲爱的提交个严重的洞,啊狗你去跟xx部门谈谈合作吧,把那个200w的合同签了。给那个白帽子奖励200RMB+10rank吧)
    )105( 亮了
  • Jumbo (6级) 论坛https://www.chinabaiker.com 回复
    你忽悠我啊,我点那个播放怎么播放不了啊
    )57( 亮了
  • 白洁 回复
    如果在天朝,此人好被请喝茶了...
    )18( 亮了
  • cf浩哥 回复
    在天朝估计就是送酷炫手镯加时尚夹克了。
    )17( 亮了
  • Maybe (1级) May the force be with you 回复
    @ NitroXenon  可是这和我们又有什么关系呢?都是404
    )9( 亮了
发表评论

已有 49 条评论

取消
Loading...

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php