Comments 20
Ну просто-таки классика жанра.
Размер вознаграждения автору?
Такой информацией не обладаю.
Тоже стало интересно, написал Ибрагиму напрямую, как ответит отпишусь.
Тоже стало интересно, написал Ибрагиму напрямую, как ответит отпишусь.
Футболка?
Помнится, а Facebook похожая бага была в прошлом году.
Она позволяла удалить любую фотографию любого пользователя.
Вознаграждение автору от FB составило $12 500.
thehackernews.com/2013/09/vulnerability-allowed-hacker-to-delete.html
Уж очень интересно, как Yahoo на подобный баг отреагирует в финансовом плане.
Она позволяла удалить любую фотографию любого пользователя.
Вознаграждение автору от FB составило $12 500.
thehackernews.com/2013/09/vulnerability-allowed-hacker-to-delete.html
Уж очень интересно, как Yahoo на подобный баг отреагирует в финансовом плане.
Ок, нашёл уязвимость, протестировал несколько раз. Но зачем надо было удалять столько данных? Не поверю, что исключительно ради тестирования.
Столько? Он удалил пару записей всего. Читайте внимательнее.
Впервые за долгое время не узнал автора по заголовку.
Принял за Ализара?
Да, похоже у Ализара появились последователи…
Заголовок просто пропитан ализарщиной
Ну удалит кто-то 100500 записей
— для рядового пользователя: ад!!! шок!!! крах интернета!!!
— для рядового админа: запрос в тех.поддержку на 3 минуте работы скрипта, запрет на удаление записей, закрытие дырки, откат базы на 5 минуты назад, налить новую чашку кофе
Ну удалит кто-то 100500 записей
— для рядового пользователя: ад!!! шок!!! крах интернета!!!
— для рядового админа: запрос в тех.поддержку на 3 минуте работы скрипта, запрет на удаление записей, закрытие дырки, откат базы на 5 минуты назад, налить новую чашку кофе
Скорее, не угадал. :-)
А нет ли какого-нибудь паттерна работы с реляционными базами чтобы такую частую ошибку исключить? Добавить
if (owner_id != user_id) может забыть каждый. А вот если бы у каждой записи были бы атрибуты, например, как в файлах: владелец, группа, права доступа, то ошибиться было бы тяжело.
Создавайте обёртку над функциями, которые у вас работают с таблицей с данными, где будет поле с правами. Функция автоматически будет проверять права. Примерно то, что вам нужно.
Ну многие думали о том чтобы добавить «row-level permissions» к реляционным базам данных. Но для web это всё равно не подходит — придётся на каждого активного пользователя создавать свое персональное соединение с базой данных, что несколько накладно и в финансовом(в случае коммерческих баз) и техническом планах.
Так что обычно это делается на уровне приложения в библиотеке работы с базой.
Так что обычно это делается на уровне приложения в библиотеке работы с базой.
Обычно логика permissions чуть сложнее, чем «владельцу можно, а остальным — нет». Могут быть группы (вложеные), политики безопасности, суперюзеры и.т.д
> Ибрагим Раафат (Ibrahim Raafat), специалист по информационной безопасности, обнаружил уязвимость типа 'Небезопасная прямая ссылка на объект' на одном из поддоменов сайта Yahoo
ололо, постоянно угораю над «важными» новостями с thehackernews. Как очередной индуский exp3rt нашел XSS в им же созданном вордпресс плагине.
Видео презентации отличная лакмусовая бумажка. Нормальный эксперт не будет делать ютюб видео чтобы объяснить уязвимость, потому что ее надо понять а не увидеть.
ололо, постоянно угораю над «важными» новостями с thehackernews. Как очередной индуский exp3rt нашел XSS в им же созданном вордпресс плагине.
Видео презентации отличная лакмусовая бумажка. Нормальный эксперт не будет делать ютюб видео чтобы объяснить уязвимость, потому что ее надо понять а не увидеть.
Зачем нужен crumb? Было бы логично именно по этому параметру отсекать попытки удалять чужие топики.
Sign up to leave a comment.
Как удалить 1500000 записей из базы данных Yahoo