ΑρχικήsecurityΕμπειρογνώμονας ανακάλυψε ευπάθειες SQL Injection, RCE στο Flickr Photo Books – Βίντεο...

Εμπειρογνώμονας ανακάλυψε ευπάθειες SQL Injection, RCE στο Flickr Photo Books – Βίντεο

Expert-Finds-SQL-Injection-RCE-Vulnerabilities-in-Flickr-Photo-Books-Video

Ο ερευνητής ασφάλειας Ibrahim Raafat κατάφερε να αποκτήσει πρόσβαση σε βάσεις δεδομένων του Flickr, όταν ανακάλυψε μια ευπάθεια SQL Injection στην ενότητα Photo Books. Επίσης, ο εμπειρογνώμονας διαπίστωσε μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα.

Ο Raafat βρήκε αρχικά δύο ευπάθειες Blind SQL Injection στο πεδίο “Checkout” του Flickr Photo Books, την οποία η ιστοσελίδα διαμοιρασμού εισήγαγε τον Νοέμβριο του 2013.

Ο ερευνητής έκανε αναφορά σχετικά με τα αποτελέσματά του, αλλά δεν έλαβε καμία απάντηση για οκτώ ημέρες. Έπειτα από επιπλέον αναζήτηση στην ιστοσελίδα, κατάφερε να εντοπίσει ένα σφάλμα SQL Injection, το οποίο θα μπορούσε να αξιοποιήσει προκειμένου να αποκτήσει πρόσβαση σε βάσεις δεδομένων του Flickr, συμπεριλαμβανομένου του κωδικού πρόσβασης MySQL root.

Στη συνέχεια, ο εμπειρογνώμονας προχώρησε ακόμη περισσότερο και κατάφερε να γράψει αρχεία και να εκτελέσει κώδικα στον server. Μετά τη δεύτερη έκθεσή του, η Yahoo, η οποία είναι κάτοχος του Flickr, αντιμετώπισε τα τρωτά σημεία μέσα σε 6 ώρες.

Την περασμένη εβδομάδα, η Yahoo καθόρισε ορισμένα σφάλματα στο Flickr που υπήρχαν για δύο μήνες πριν από την ληφθούν σοβαρά υπόψη από την εταιρεία.

Ρίξτε μια ματιά στο βίντεο που δημοσιεύθηκε από τον εμπειρογνώμονα:

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS