آسیب‌پذیری در ابزار کپی‌رایت فیس‌بوک

یک محقق پس از پیدا کردن یک آسیب‌پذیری جدی در ابزار مدیریت کپی‌رایت (Rights Manager) فیسبوک پاداش قابل‌توجهی دریافت کرد.
Rights Manager با کمک به منتشرکنندگان برای شناسایی ویدئوهای بدون مجوز ارسال‌شده در فیسبوک در محافظت از محتوا به آن‌ها کمک می‌کند. منتشرکنندگانی که فرآیند تأیید را تکمیل ‌کنند می‌توانند برای تعیین قوانین استفاده مجاز، گزارش محتوا و صفحات و پروفایل‌های فهرست سفید به این ابزار اتکا کنند.
این ابزار اوایل امسال در پاسخ به افزایش غارت‌ها یعنی عمل بارگیری ویدئوهای دارای حق کپی‌رایت از یک بستر (مثل یوتیوب) و بارگذاری آن‌ها درون بستری متفاوت (مثلاً فیسبوک) بدون مجوز دارنده حق کپی‌رایت روانه بازار شد.  این محقق کشف آسیب‌پذیری‌ها به نام لاکسمن موتیاه۱ که در هندوستان مستقر است، یک اشکال جدی را در Rights Manager کشف کرد که امکان بهره‌برداری از آن برای دسترسی و تغییر تنظیمات در هر حساب کاربری دارنده حق کپی‌رایت را فراهم می‌کرد.
کارشناس مذکور متوجه شد که Rights Manager از Graph API استفاده می کند. این ابزار روش اولیه‌ای را برای برنامه‌های کاربردی فراهم می‌کند تا داده‌ها را در فیسبوک بنویسند و بخوانند. رابط کاربر این ابزار به یک برنامه کاربردی توسعه‌یافته توسط فیسبوک متکی است که کد منبع آن حاوی یک توکن دسترسی بود.
موتیاه اثبات کرد که این توکن دسترسی را می‌توان از طریق Graph API اهرم‌بندی کرد تا اعمال متفاوتی ازجمله دسترسی به ویدئوها و حذف آن‌ها و دست‌کاری و حذف قوانین کپی‌رایت را انجام دهد.
فیسبوک به‌سرعت این آسیب‌پذیری را وصله کرد و ۴۰۰۰ دلار جایزه را برای افشای مسئولانه این مسئله به موتیاه جایزه داد.
این اولین بار نیست که این محقق اشکالات جدی را در فیسبوک پیدا کرده است. سال گذشته او ۱۲۵۰۰ دلار برای یک اشکال Graph API که از آن برای حذف عکس‌های کاربران بهره‌برداری می‌شد و ۱۰۰۰۰ دلار را برای یک اشکال همگام‌سازی که امکان دسترسی به‌ عکس‌های شخصی و محرمانه را فراهم می‌کرد به دست آورد.

۱. Laxman Muthiyah        منبع: asis

        درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap