Warto szukać dziur, PornHub zapłacił 20 tys. dolarów za groźne błędy w PHP

Warto szukać dziur, PornHub zapłacił 20 tys. dolarów za groźne błędy w PHP

Warto szukać dziur, PornHub zapłacił 20 tys. dolarów za groźne błędy w PHP
26.07.2016 13:36, aktualizacja: 27.07.2016 11:23

Cyberataki zdarzają się coraz częściej, a ich skutki są coraz bardziej bolesne, nie tylko dla głównej ofiary, ale również dla użytkowników korzystających z usług zaatakowanego. Ważne jest więc zapewnienie wysokiego poziomu bezpieczeństwa. Słynny serwis wideo PornHub stworzył własny program, w ramach którego będzie płacił za znalezione luki i jak się okazuje, będzie płacił całkiem sporo.

Program mający zwiększyć bezpieczeństwo PornHuba został uruchomiony dwa miesiące temu. Nagrody za znalezione błędy miały zachęcić hakerów i łowców nagród do poszukiwań. Dla właścicieli zwiększenie bezpieczeństwa jest niezwykle ważne. Strona jest jedną z najpopularniejszych w Sieci, co stanowi łakomy kąsek dla cyberprzestępców.

Obraz

Właśnie zostały wypłacone pierwsze nagrody. Zespół trzech badaczy otrzymał aż 20 tysięcy dolarów, to więcej niż płaci chociażby Fiat za znalezienie błędów w oprogramowaniu samochodów. Odkrywcom udało się zdalnie wykonać swój kod na PornHubie. Wykorzystali w tym celu podatności 0-day w samym silniku PHP, języka, w którym napisana jest strona internetowa PornHuba.

Wykryte podatności typu use-after-free dotyczą wszystkich wersji PHP od 5.3 wzwyż i tkwią w algorytmie odśmiecania pamięci. Udało się je zdalnie wyeksploitować wykorzystując funkcję deserializacji PHP.

Atak pozwolił badaczom na zdobycie informacji o konkretnym użytkowniku, śledzenie jego zachowania na stronie, a nawet z wykorzystaniem techniki Return-Oriented-Programming na uzyskanie uprawnień roota i dostęp do całej bazy użytkowników PornHub.

PornHub za znalezienie tak poważnego zagrożenia wypłacił 20 tysięcy dolarów. Dodatkowo badacze otrzymali 2 tysiące dolarów od Internet Bug Bounty HackerOne za znalezienie luk zero-day w PHP. Błędy zostały naprawione 21 czerwca, PHP zaktualizowane z repozytoriów bezpieczeństwa po tym dniu na atak jest już odporne

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (35)