庫(kù)馬爾發(fā)現(xiàn),在這種信息中有兩個(gè)參數(shù)很輕易被修改,分別是“'photo_id”和“Owners Profile_id”����。這一次Facebook安全團(tuán)隊(duì)的一名成員證明確實(shí)存在該漏洞����,并表示將在“明天早上的某個(gè)時(shí)候”作出修復(fù)�����。通過改變這兩個(gè)參數(shù)�,庫(kù)馬爾可以選擇刪除Facebook網(wǎng)站上的任何照片。庫(kù)馬爾將這一漏洞的細(xì)節(jié)發(fā)給了Facebook安全團(tuán)隊(duì)�����,后者一開始不能通過他所說的方法來刪除任何照片���。
這個(gè)漏洞是庫(kù)馬爾在對(duì)移動(dòng)版Facabook Support Dashboard進(jìn)行研究后發(fā)現(xiàn)的��,這個(gè)門戶答應(yīng)用戶追蹤向Facebook網(wǎng)站提交的任何講演的進(jìn)展����,包括用戶以為哪些照片應(yīng)被刪除等�����。事實(shí)上���,只有當(dāng)用戶登錄以后發(fā)現(xiàn)自己的照片消失了才會(huì)知道����。隨后���,庫(kù)馬爾又使用一個(gè)演示賬號(hào)來對(duì)這個(gè)漏洞進(jìn)行了說明�����,此外還向Facebook發(fā)出了一段概念視頻作為證據(jù)���,以證實(shí)他可以從馬克·扎克伯格(Mark Zuckerberg)的相簿中刪除后者自己的照片。這樣做的結(jié)果是��,F(xiàn)acebook會(huì)天生一個(gè)照片刪除鏈接,該鏈接隨后會(huì)被發(fā)送給信息接收者(即照片所有人)����,接收者可點(diǎn)擊鏈接以刪除照片。當(dāng)用戶提交這種申請(qǐng)而Facebook并未刪除可疑照片時(shí)�,用戶可選擇直接向圖片所有者發(fā)送刪除照片的哀求。在這一過程中���,照片被刪的用戶不會(huì)以任何方式介入其中��,而且也不會(huì)收到來自Facebook的任何信息���。庫(kù)馬爾解釋稱,這個(gè)漏洞可被用來刪除任何已認(rèn)證用戶���、頁(yè)面或群組的照片���,以及來自于狀態(tài)信息、相簿���、推薦帖子甚至是評(píng)論中的照片����。
粵公網(wǎng)安備44011302004697
