Дапамажыце dev.by 🤍
Падтрымаць

Программист из Казани мог удалить все ролики YouTube, но не стал

Пакінуць каментарый
Программист из Казани мог удалить все ролики YouTube, но не стал

22-летний программист и исследователь безопасности веб-сервисов из Казани Камиль Хисматуллин обнаружил уязвимость в YouTube, позволившую ему удалить любой ролик на сервисе — однако не воспользовался ей, а сообщил в компанию и получил награду. Об этом он рассказал в своём блоге.

Читать далее...

Камиль Хисматуллин. Фото с его страницы во «ВКонтакте»

Некоторое время назад программист казанской студии Flatstack Камиль Хисматуллин получил письмо от Google с приглашением принять участие в программе Vulnerability Research Grants. По ней компания авансом выплачивает небольшую сумму (Камиль получил 1337 долларов) с расчётом на то, что исследователь посвятит какое-то время изучению её продуктов и, возможно, найдёт в них ошибки. В случае, если уязвимость найдена и принята в Google, компания выплатит не только аванс, но и награду за полезный багрепорт.

Хисматуллин решил заняться изучением багов на выходных, и первой его целью стал YouTube Creator Studio — приложение для владельцев каналов на видеохостинге, позволяющее управлять загруженными видео, отвечать на комментарии и анализировать статистику. По словам исследователя, уже через два часа у него были готовы два отчёта для Google.

В системе видеотрансляций он нашёл логическую ошибку: её устройство позволяло удалить через обращение к YouTube Creator Studio любое видео на сервисе, используя в качестве ключа авторизации только токен своей сессии. В качестве подтверждения найденной уязвимости он опубликовал видео, где он удаляет собственное видео, оставаясь незалогиненным на YouTube.

По словам Хисматуллина, в штаб-квартире Google было раннее субботнее утро, когда он отправил отчёт об ошибке, но ему ответили очень быстро, так как уязвимость могла создать полную неразбериху на сервисе.

Всего исследование заняло у меня 6–7 часов — принимая во внимания те пару часов, что я боролся с желанием очистить YouTube-канал Джастина Бибера, ха-ха, — признаётся Камиль Хисматуллин.

Недобросовестные пользователи YouTube, в руках которых оказался бы такой инструмент, могли бы удалить огромное число роликов за короткий промежуток времени. Однако в Google устранили уязвимость за несколько часов и выплатили исследователю награду в 5 тысяч долларов. Всего-то.

 

Чытайце таксама
10+ сертификаций Coursera, которые помогут улучшить резюме и повысить зарплату
10+ сертификаций Coursera, которые помогут улучшить резюме и повысить зарплату
10+ сертификаций Coursera, которые помогут улучшить резюме и повысить зарплату
Бюджетный способ прокачать навыки и повысить зарплату — это профессиональный сертификат от Google, IBM или крупного зарубежного университета. На Coursera как раз можно найти десятки полезных обучающих программ по машинному обучению, проджект-менеджменту и не только. Собрали 10+ сертификаций, которые будут выигрышно смотреться в резюме как новичка, так и опытного специалиста.
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
На платформе Coursera можно найти сотни курсов от крупных корпораций, включая Google, Amazon и HubSpot. Это отличная возможность начать новую карьеру, повысить квалификацию и просто получить плюс в профессиональную карму. Мы собрали 10 программ от ИТ-компаний, которые помогут освоить машинное обучение, UX-дизайн, продакт-менеджмент, кибербезопасность и многое другое.
Приложение Трампа Truth Social заблокировано в Google Play
Приложение Трампа Truth Social заблокировано в Google Play
Приложение Трампа Truth Social заблокировано в Google Play
Школьник выложил 2,5 часа геймплея ремейка The Last of Us до официального релиза
Школьник выложил 2,5 часа геймплея ремейка The Last of Us до официального релиза
Школьник выложил 2,5 часа геймплея ремейка The Last of Us до официального релиза
1 каментарый

Хочаце паведаміць важную навіну? Пішыце ў Telegram-бот

Галоўныя падзеі і карысныя спасылкі ў нашым Telegram-канале

Абмеркаванне
Каментуйце без абмежаванняў

Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.

Каментарыяў пакуль няма.