XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > Youtube-da olan boşluq aradan qaldırıldı!

6 Apr 2015

 Youtube öz videoxostinqində kənar istifadəçilərə məxsus videoçarxları silmək səlahiyyətlərini verən boşluğu aradan qaldırdılar. İnformasiya təhlükəsizliyi departamenti üzrə olan mütəxəssislər boşluq olan hesabata (bug report) operativ şəkildə reaksiya verdilər. Onlar başa düşürdülər ki, bu boşluq kütləvi informasiya vasitələrinə yayılarsa dünyaca məşhur Youtube videoxostinqində xaos yaranar.

Eksploitin müəllifi Kamil Xismatulin bildirmişdir ki, o Google şirkətinin keçirdiyi boşluq axtarışı üzrə yarışlarda daima iştirak edir. Bu dəfə isə o hədəf olaraq YouTube Creator Studio seçir və live_events/broadcasting sistemində CSRF və XSS boşluqlarının olub olmadığı barədə axtarışlar edir. Gözlənilmədən o bir boşluq aşkar edir, hansı ki, Youtube-dan sadə sorğu vasitəsilə istənilən videoçarxı silmək imkanı verir:

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id:ANY_VIDEO_ID
session_token:YOUR_TOKEN
Cavabda isə: "success": 1 gəlir
Budur artıq video silinir.

 Google şirkəti bu boşluğu ani olaraq aradan qaldırdı, xakerə isə mükafat olaraq 5000$ verildi.