r   e   k   l   a   m   a
r   e   k   l   a   m   a

Warto szukać dziur, PornHub zapłacił 20 tys. dolarów za groźne błędy w PHP

Strona główna AktualnościBEZPIECZEŃSTWO

Cyberataki zdarzają się coraz częściej, a ich skutki są coraz bardziej bolesne, nie tylko dla głównej ofiary, ale również dla użytkowników korzystających z usług zaatakowanego. Ważne jest więc zapewnienie wysokiego poziomu bezpieczeństwa. Słynny serwis wideo PornHub stworzył własny program, w ramach którego będzie płacił za znalezione luki i jak się okazuje, będzie płacił całkiem sporo.

Program mający zwiększyć bezpieczeństwo PornHuba został uruchomiony dwa miesiące temu. Nagrody za znalezione błędy miały zachęcić hakerów i łowców nagród do poszukiwań. Dla właścicieli zwiększenie bezpieczeństwa jest niezwykle ważne. Strona jest jedną z najpopularniejszych w Sieci, co stanowi łakomy kąsek dla cyberprzestępców.

Właśnie zostały wypłacone pierwsze nagrody. Zespół trzech badaczy otrzymał aż 20 tysięcy dolarów, to więcej niż płaci chociażby Fiat za znalezienie błędów w oprogramowaniu samochodów. Odkrywcom udało się zdalnie wykonać swój kod na PornHubie. Wykorzystali w tym celu podatności 0-day w samym silniku PHP, języka, w którym napisana jest strona internetowa PornHuba.

r   e   k   l   a   m   a

Wykryte podatności typu use-after-free dotyczą wszystkich wersji PHP od 5.3 wzwyż i tkwią w algorytmie odśmiecania pamięci. Udało się je zdalnie wyeksploitować wykorzystując funkcję deserializacji PHP.

Atak pozwolił badaczom na zdobycie informacji o konkretnym użytkowniku, śledzenie jego zachowania na stronie, a nawet z wykorzystaniem techniki Return-Oriented-Programming na uzyskanie uprawnień roota i dostęp do całej bazy użytkowników PornHub.

PornHub za znalezienie tak poważnego zagrożenia wypłacił 20 tysięcy dolarów. Dodatkowo badacze otrzymali 2 tysiące dolarów od Internet Bug Bounty HackerOne za znalezienie luk zero-day w PHP. Błędy zostały naprawione 21 czerwca, PHP zaktualizowane z repozytoriów bezpieczeństwa po tym dniu na atak jest już odporne

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.