Comments 20
Ну просто-таки классика жанра.
+15
Размер вознаграждения автору?
+5
Такой информацией не обладаю.
Тоже стало интересно, написал Ибрагиму напрямую, как ответит отпишусь.
Тоже стало интересно, написал Ибрагиму напрямую, как ответит отпишусь.
+3
Футболка?
+24
Помнится, а Facebook похожая бага была в прошлом году.
Она позволяла удалить любую фотографию любого пользователя.
Вознаграждение автору от FB составило $12 500.
thehackernews.com/2013/09/vulnerability-allowed-hacker-to-delete.html
Уж очень интересно, как Yahoo на подобный баг отреагирует в финансовом плане.
Она позволяла удалить любую фотографию любого пользователя.
Вознаграждение автору от FB составило $12 500.
thehackernews.com/2013/09/vulnerability-allowed-hacker-to-delete.html
Уж очень интересно, как Yahoo на подобный баг отреагирует в финансовом плане.
+2
Ок, нашёл уязвимость, протестировал несколько раз. Но зачем надо было удалять столько данных? Не поверю, что исключительно ради тестирования.
-18
Столько? Он удалил пару записей всего. Читайте внимательнее.
+3
Впервые за долгое время не узнал автора по заголовку.
+8
Принял за Ализара?
+1
Да, похоже у Ализара появились последователи…
+4
Заголовок просто пропитан ализарщиной
Ну удалит кто-то 100500 записей
— для рядового пользователя: ад!!! шок!!! крах интернета!!!
— для рядового админа: запрос в тех.поддержку на 3 минуте работы скрипта, запрет на удаление записей, закрытие дырки, откат базы на 5 минуты назад, налить новую чашку кофе
Ну удалит кто-то 100500 записей
— для рядового пользователя: ад!!! шок!!! крах интернета!!!
— для рядового админа: запрос в тех.поддержку на 3 минуте работы скрипта, запрет на удаление записей, закрытие дырки, откат базы на 5 минуты назад, налить новую чашку кофе
+3
Скорее, не угадал. :-)
+1
А нет ли какого-нибудь паттерна работы с реляционными базами чтобы такую частую ошибку исключить? Добавить
if (owner_id != user_id)
может забыть каждый. А вот если бы у каждой записи были бы атрибуты, например, как в файлах: владелец, группа, права доступа, то ошибиться было бы тяжело.0
Создавайте обёртку над функциями, которые у вас работают с таблицей с данными, где будет поле с правами. Функция автоматически будет проверять права. Примерно то, что вам нужно.
+6
Ну многие думали о том чтобы добавить «row-level permissions» к реляционным базам данных. Но для web это всё равно не подходит — придётся на каждого активного пользователя создавать свое персональное соединение с базой данных, что несколько накладно и в финансовом(в случае коммерческих баз) и техническом планах.
Так что обычно это делается на уровне приложения в библиотеке работы с базой.
Так что обычно это делается на уровне приложения в библиотеке работы с базой.
+2
Обычно логика permissions чуть сложнее, чем «владельцу можно, а остальным — нет». Могут быть группы (вложеные), политики безопасности, суперюзеры и.т.д
0
> Ибрагим Раафат (Ibrahim Raafat), специалист по информационной безопасности, обнаружил уязвимость типа 'Небезопасная прямая ссылка на объект' на одном из поддоменов сайта Yahoo
ололо, постоянно угораю над «важными» новостями с thehackernews. Как очередной индуский exp3rt нашел XSS в им же созданном вордпресс плагине.
Видео презентации отличная лакмусовая бумажка. Нормальный эксперт не будет делать ютюб видео чтобы объяснить уязвимость, потому что ее надо понять а не увидеть.
ололо, постоянно угораю над «важными» новостями с thehackernews. Как очередной индуский exp3rt нашел XSS в им же созданном вордпресс плагине.
Видео презентации отличная лакмусовая бумажка. Нормальный эксперт не будет делать ютюб видео чтобы объяснить уязвимость, потому что ее надо понять а не увидеть.
-4
Зачем нужен crumb? Было бы логично именно по этому параметру отсекать попытки удалять чужие топики.
0
Sign up to leave a comment.
Как удалить 1500000 записей из базы данных Yahoo