Geekly articles weekly

Zugang zu Pornhub bekommen?

Zugang zu Pornhub bekommen?




Nachdem Experten die Sicherheitslücken (in PHP) ausgenutzt hatten, erhielten sie Zugriff auf Benutzerdaten der größten "Erdbeer" -Seite Pornhub. Zwei Sicherheitslücken (Use-after-free-Schwachstellen: CVE-2016-5771 und CVE-2016-5773) wurden in PHP von Ruslan Khabalov (Praktikant bei Google Sofware), Dario Veyser (IB-Experte), einem Forscher mit dem Spitznamen @_cutz, entdeckt. Sie fanden und demonstrierten, wie die RCE-Sicherheitsanfälligkeit funktioniert, und entdeckten 0-Tage-Fehler in PHP. Mithilfe dieser Sicherheitsanfälligkeiten haben die Forscher den Code ausgeführt und vollen Zugriff auf die Pornhub-Datenbank erhalten.Es wurde Zugriff auf die Datei / etc / passwd erhalten, mit der Systemaufrufe beliebig gestartet werden können.



Experten zufolge wurde die Sicherheitsanfälligkeit im PHP-Garbage-Collector-Algorithmus gefunden. Daten konnten im Rahmen der unserialisierten Funktion remote ausgenutzt werden. Das Erkennen und Ausnutzen von Schwachstellen kann nicht als einfach bezeichnet werden, sondern als vollständiger Zugriff auf Benutzerdaten und den Quellcode von Pornhub-Unterseiten. Die Experten konnten Benutzeraktionen verfolgen und Aktionen mit Superuser-Rechten ausführen. Sie erstellten eine böswillige Nutzlast, die Speicher verwendete, der durch den Garbage Collection-Algorithmus freigegeben wurde, der nach dem PHP-Deserialisierungsmechanismus ausgeführt wurde. Infolgedessen wurde bösartiger Code auf dem PornHub-Server ausgeführt.

Die Verwaltung von Pornhub belohnte die Forscher für das Erkennen einer solchen Lücke. Sie erhielten 20.000 US-Dollar an Belohnungen, Internet Bug Bounty zahlte ihnen auch 2.000 US-Dollar für das Erkennen von Schwachstellen in PHP.

Am 13. Mai dieses Jahres versprach Pornhub, Benutzer zu bezahlen, die die Website hacken und ihre Schwachstellen melden könnten. Es war geplant, je nach Komplexität des Fehlers zwischen 50 und 25.000 US-Dollar zu zahlen. Im Moment haben die PHP-Entwickler die erkannten Probleme bereits behoben.

Source: https://habr.com/ru/post/de395597/

More articles:


All Articles