Error en YouTube permitía borrar videos de otros usuarios

Publicado por frhfpwimb, Abril 19, 2015, 20:23:32

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

frhfpwimb

Abril 19, 2015, 20:23:32

El investigador de seguridad Kamil Hismatullin descubrió una vulnerabilidad (grave) en la plataforma de vídeos online Youtube mediante la cual, aprovechando un problema en la lógica de una de las funcionalidades, podría borrar cualquier vídeo subido de cualquier usuario.

El script en cuestión se encuentra en la siguiente URL:

    https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1

El cual acepta, mediante método HTTP POST, dos parámetros:

    event_id: identificador del video a eliminar
    session_token: token de sesión válido de cualquier usuario diferente al del propietario del vídeo a eliminar

Esta funcionalidad se utiliza dentro de la aplicación YouTube Creator Studio, la aplicación de edición de videos para usuarios de Youtube tanto para iOS como para Android, en la que entre otras funciones, también permite la gestión de los videos.


Seguir leyendo
POR FAVOR: Considere hacer una donación para que de esta forma se pueda pagar el housing así esta comunidad pueda seguir en linea.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario