Бесплатно Экспресс-аудит сайта:

07.08.2014

Уязвимость в Flickr позволяла злоумышленникам изменять профиль жертвы

Популярный web-сайт Flickr, предназначенный для хранения и просмотра фотографий, оказался подверженным  уязвимости , позволяющей взломщикам изменять изображение профиля жертвы.

Обслуживая более 87 миллионов пользователей, Flickr всегда являлся высокоприоритетной целью для киберпреступников. Сайт оказался уязвим к межсайтовым подделкам запросов (CSRF). Этот вид бреши может с легкостью эксплуатироваться хакерами.

17-летний программист из Ирака Абдулла Хусам (Abdullah Hussam) обнаружил уязвимость, модифицировав параметры HTTP-запроса в Flickr, заставив сайт изменить изображения профиля пользователя.

Когда пользователь загружает фотографию на сайт, происходит перенаправление на страницу, где можно добавить информацию об изображении. В запросе используется параметр magic_cookie, который Flickr применяет для защиты пользователей от CSRF-атак. Именно этот параметр и оказался уязвимым, как говорит Хусам.

Чтобы проэксплуатировать эту брешь, злоумышленнику достаточно создать web-страницу, ссылающуюся на Flickr. Оставив параметр magic_cookie пустым и изменив идентификатор фотографии, хакер обойдет систему защиты сайта и вынудит его изменить картинку профиля пользователя на любую другую.

Подросток сообщил администрации сайта об обнаруженной уязвимости. В течение 12 часов разработчики исправили брешь.