Скрытый текст

студент · 05.04.2015, 16:18

Российский программист нашел способ удалять любое видео из YouTube

Казанский программист Камиль Хисматуллин обнаружил уязвимость на YouTube, позволяющая удалить все ролики с видеохостинга. Об этом он рассказал в своем блоге 31 марта, передает BBC News.

Уязвимость была выявлена в системе YouTube Creator Studio — сервиса, который позволяет авторам просматривать аналитику об их видео, загруженных через приложение. Из-за бага любой ролик мог быть удален за полминуты с помощью копирования части адресной ссылки видео и аутентификационного маркера (или токена), который работает как пароль.

Скрытый текст

Проблема заключалась в том, что система воспринимала любой аутентификационный маркер, тогда как по правилам она должна распознавать только токен, который принадлежит аккаунту пользователя, загрузившего видео. Поэтому копирование любого токена позволяло удалить ролики других пользователей без каких-либо трудностей.

Программист говорит, что на обнаружение бага ему потребовалось от 6 до 7 часов. Вместо того чтобы удалять ролики с видеохостинга, в том числе клипы популярного у тинейджеров исполнителя Джастина Бибера, как пошутил сам Хисматуллин, он решил заявить о баге самой компании. Он написал Google, которая является владельцем YouTube, об уязвимости в рамках запущенной в январе программы компании по поиску уязвимостей в ее сервисах (Vulnerability Research Grants). Интернет-гигант ответил незамедлительно, устранив неисправность в течение нескольких часов, а сам он получил вознаграждение пять тысяч долларов, написал программист. «И к счастью, ни одно видео Бибера не пострадало», — добавил Хисматуллин.

По задумке Vulnerability Research Grants, интернет-гигант выбирает людей, которые ранее регулярно оповещали Google о проблемах в ее сервисах. В рамках программы компания предлагает программистам делать то же самое, но уже за деньги. Гранты подразумевают выплаты в размере от 500 до суммы свыше 3 тысяч долларов. Ранее, как активный уведомитель о багах Google, Хисматуллин получил 1337 долларов.

Камиль Хисматуллин сейчас проживаеь в Казани. В разделе «О себе» в его блоге говорится, что он увлекается научными исследованиями, разработкой программного обеспечения, исследованиями в сфере кибербезопасности, фильмами, ездой на велосипеде.

[свернуть]

Источник: http://softcraze.com

05.04.2015, 16:18	#11
студент Постоялец Online: 4мес0нед6дн Регистрация: 26.08.2013 Сообщений: 25,645 Репутация: 52470 (Вес: 1048) Поблагодарили 25,754 раз(а)	Re: Новости YouTube Российский программист нашел способ удалять любое видео из YouTube Казанский программист Камиль Хисматуллин обнаружил уязвимость на YouTube, позволяющая удалить все ролики с видеохостинга. Об этом он рассказал в своем блоге 31 марта, передает BBC News. Уязвимость была выявлена в системе YouTube Creator Studio — сервиса, который позволяет авторам просматривать аналитику об их видео, загруженных через приложение. Из-за бага любой ролик мог быть удален за полминуты с помощью копирования части адресной ссылки видео и аутентификационного маркера (или токена), который работает как пароль. Скрытый текст Проблема заключалась в том, что система воспринимала любой аутентификационный маркер, тогда как по правилам она должна распознавать только токен, который принадлежит аккаунту пользователя, загрузившего видео. Поэтому копирование любого токена позволяло удалить ролики других пользователей без каких-либо трудностей. Программист говорит, что на обнаружение бага ему потребовалось от 6 до 7 часов. Вместо того чтобы удалять ролики с видеохостинга, в том числе клипы популярного у тинейджеров исполнителя Джастина Бибера, как пошутил сам Хисматуллин, он решил заявить о баге самой компании. Он написал Google, которая является владельцем YouTube, об уязвимости в рамках запущенной в январе программы компании по поиску уязвимостей в ее сервисах (Vulnerability Research Grants). Интернет-гигант ответил незамедлительно, устранив неисправность в течение нескольких часов, а сам он получил вознаграждение пять тысяч долларов, написал программист. «И к счастью, ни одно видео Бибера не пострадало», — добавил Хисматуллин. По задумке Vulnerability Research Grants, интернет-гигант выбирает людей, которые ранее регулярно оповещали Google о проблемах в ее сервисах. В рамках программы компания предлагает программистам делать то же самое, но уже за деньги. Гранты подразумевают выплаты в размере от 500 до суммы свыше 3 тысяч долларов. Ранее, как активный уведомитель о багах Google, Хисматуллин получил 1337 долларов. Камиль Хисматуллин сейчас проживаеь в Казани. В разделе «О себе» в его блоге говорится, что он увлекается научными исследованиями, разработкой программного обеспечения, исследованиями в сфере кибербезопасности, фильмами, ездой на велосипеде. [свернуть] Источник: http://softcraze.com

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)