الوصول إلى Pornhub؟

الوصول إلى Pornhub؟

بعد استغلال نقاط الضعف (في PHP) ، تمكن الخبراء من الوصول إلى بيانات المستخدم لأكبر موقع "الفراولة" Pornhub. تم اكتشاف اثنين من نقاط الضعف (نقاط الضعف بعد الاستخدام المجاني: CVE-2016-5771 و CVE-2016-5773) في PHP بواسطة Ruslan Khabalov (Google Sofware Intern) ، Dario Veyser (خبير IB) ، باحث بالاسم المستعار_cutz. لقد اكتشفوا وأظهروا كيف يعمل ثغرة RCE واكتشفوا أخطاء لمدة 0 يوم في PHP. باستخدام نقاط الضعف هذه ، نفذ الباحثون الشفرة وحصلوا على وصول كامل إلى قاعدة بيانات Pornhub.تم الوصول إلى ملف / etc / passwd ، والقدرة على تشغيل استدعاءات النظام بشكل تعسفي.



وفقا للخبراء ، تم العثور على الضعف في خوارزمية جامع القمامة PHP ، يمكن استغلال البيانات عن بعد في سياق وظيفة عدم التسلسل. لا يمكن تسمية عملية اكتشاف الثغرات واستغلالها بالبساطة ، ولكن نتيجة لذلك ، الوصول الكامل إلى بيانات المستخدم والشفرة المصدر لمواقع Pornhub الفرعية. تمكن الخبراء من تتبع إجراءات المستخدم ، بالإضافة إلى ذلك ، تنفيذ الإجراءات بحقوق المستخدم الفائق. قاموا بإنشاء حمولة ضارة استخدمت الذاكرة التي تم تحريرها بواسطة خوارزمية جمع القمامة ، والتي تم تشغيلها بعد آلية إزالة PHP لإزالة التسلسل. ونتيجة لذلك ، تم تنفيذ تعليمات برمجية ضارة على خادم PornHub.

كافأت إدارة Pornhub الباحثين على اكتشاف هذه الفجوة ، ودفعوا 20 ألف دولار كمكافآت ، كما دفع لهم Internet Bug Bounty 2000 دولار للكشف عن نقاط الضعف في PHP.

في 13 مايو من هذا العام ، وعد Pornhub بدفع المستخدمين الذين يمكنهم اختراق الموقع والإبلاغ عن نقاط ضعفه ، تم التخطيط للدفع من 50 دولارًا إلى 25 ألفًا ، اعتمادًا على تعقيد الخطأ. في الوقت الحالي ، قام مطورو PHP بالفعل بإصلاح المشكلات المكتشفة.

Source: https://habr.com/ru/post/ar395597/