Уязвимость в Twitter позволяла удалить кредитные карты с любого аккаунта

Уязвимость в Twitter позволяла удалить кредитные карты с любого аккаунта

Специалист по информационной безопасности получил $2800 премии за выявленную уязвимость рекламного приложения Twitter.

Twitter исправила уязвимость , позволявшую неавторизованным пользователям удалять любую кредитную карту со всех аккаунтов, тем самым уменьшая прибыль компании от рекламы.

Атаки осуществлялись путем эксплуатации уязвимости «прямой ссылки на объект» (direct object reference vulnerability) и манипуляций с последовательностями чисел в URL-адресах. Уязвимость оказалась весьма критичной, поскольку для удаления кредитной карты необходим только идентификатор, состоящий из шести цифр, например, «220152», сказал Ахмед Абул-Эла (Ahmed Aboul-Ela), специалист по информационной безопасности.

Первая уязвимость касалась карт, хранившихся в «ads.twitter.com/accounts/[account id]/payment_methods». Абул-Эла показал, как, изменив всего два параметра в POST-запросе и переслав измененный запрос, можно удалить карту. Вторая уязвимость состояла в генерировании опции «dismiss» при использовании недействительной карты, что создавало эффект удаления карты. Расширяя идентификаторы, можно удалить огромное количество карт.

В начале сентября Twitter запустил программу выплаты вознаграждений за выявленные уязвимости и теперь платит всем, кто обнаружит уязвимости и сообщит об этом на специально созданный сайт HackerOne . В рамках программы Абул-Эла получил от Twitter $ 2800 – по его словам, самое крупное вознаграждение на сегодняшний день.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас