(http://imagenes.argentop2p.net/di/NXOG/YouTube-logo-full_color.png)
El investigador de seguridad Kamil Hismatullin descubrió una vulnerabilidad (grave) en la plataforma de vídeos online Youtube mediante la cual, aprovechando un problema en la lógica de una de las funcionalidades, podría borrar cualquier vídeo subido de cualquier usuario.
El script en cuestión se encuentra en la siguiente URL:
https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
El cual acepta, mediante método HTTP POST, dos parámetros:
event_id: identificador del video a eliminar
session_token: token de sesión válido de cualquier usuario diferente al del propietario del vídeo a eliminar
Esta funcionalidad se utiliza dentro de la aplicación YouTube Creator Studio, la aplicación de edición de videos para usuarios de Youtube tanto para iOS como para Android, en la que entre otras funciones, también permite la gestión de los videos.
Seguir leyendo (http://www.securitybydefault.com/2015/04/vulnerabilidad-en-youtube-permitio.html)