一位印度電子工程師發(fā)現(xiàn)了Facebook的又一漏洞。利用這一漏洞，用戶可以在所有者不知情的情況下刪除其賬戶內的任何照片，無需任何用戶交互。這名工程師叫做阿魯爾?庫馬爾，21歲來自泰米爾納德邦。庫馬爾將收到Facebook的白帽錯誤賞金計劃的12500美元獎勵。

他發(fā)現(xiàn)的漏洞藏匿于Facebook移動版的控制面板。這一程序允許用戶跟蹤他們對Facebook賬戶的任何操作。其中包括顯示需要被刪除的照片。當用戶提交刪除請求，這一程序會將刪除鏈接轉發(fā)給用戶，由用戶決定是否刪除。但是問題就出現(xiàn)在這一鏈接上。

庫馬爾發(fā)現(xiàn)，此鏈接的參數(shù)包含“photo_id”和“profile_id”，所以好事者可以修改他們。然后，點擊鏈接Facebook就會執(zhí)行刪除命令。但是如果photo_id被修改為其他用戶照片，那么照片刪除請求就會在這一照片上執(zhí)行。

庫馬爾利用他控制的另一個賬戶，驗證了這一想法。庫馬爾可以刪除任何用戶的任意照片。而受害者只有在查看照片時，才會發(fā)現(xiàn)它消失了。庫馬爾表示，該漏洞可以被用來從任何用戶頁面或群組，以及狀態(tài)、相冊、位置和留言部分刪除照片。

　　推薦閱讀

　　《植物大戰(zhàn)僵尸2》的“溫水煮蛙”陷阱

科技博客AllthingsD今天撰文評論目前大熱的植物大戰(zhàn)僵尸2的免費模式陷>>>詳細閱讀

本文標題：Facebook爆新漏洞 照片可被陌生人隨意刪除

地址：http://www.sdlzkt.com/a/05/20130903/285979.html

 1/2    1  2 下一頁