Darabi는 요청 매개변수들을 보다가 ID 번호를 변경해 이미지를 첨부할 수 있다는 사실을 발견했다. 이를 통해 낯선 사람이 온라인으로 업로드한 사진을 미리 볼 수도 있고, 설문조사에 참가할 수도 있다. 또한 설문 조사를 삭제하면 첨부된 이미지가 소셜 네트워크에서 영구적으로 삭제됐다.
해당 취약점은 보이는 것처럼 간단하지는 않다. ID 번호가 사진에 대해 완전히 순차적인 적이 아니기 때문에 유효한 이미지가 나올때까지 계속해서 시도해야한다. 타깃으로 삼은 방식으로 공격을 수행하는 것은 어려울 것이지만, 일반적인 해킹 행위를 할 수 있으므로 완벽하다고 할 수 있다.
Darabi는 이 취약점을 발견하고 보고하여 1만달러의 페이스북 버그바운티 상금을 받았다. 토요일에 공개된 이 연구원의 보고서에는 페이스북이 해당 이슈를 얼마나 빠르게 처리했는지에 대한 내용이 포함되어 있었다. Darabi는 웹사이트 보안팀에 PoC 코드와 함께 해당 문제에 대해 보고했고, 12시간 내에 페이스북이 검토했고, 이틀 후 문제가 해결됐다.
페이스북이 이달 초에 설문조사 기능을 추가했기 때문에 앞으로 발견되고 처리될 다른 결함들이 더 있을 것으로 보인다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#해커
저작권자 © 데일리시큐 무단전재 및 재배포 금지