Facebook merupakan salah satu laman media sosial yang selalu dikunjungi oleh pengguna Internet. Walaupun Facebook ini selalu diguna, namun terdapat beberapa kelemahan pada laman sosial tersebut. Seorang pakar sekuriti siber dari Brazil, Reginaldo Silva menjumpa kelemahan Remote Code Execution (RCE) pada bulan September tahun lalu.
Sekali lagi, dia sedang mencuba function Forgot Your Password pada Facebook. Pada masa itu, dia menjumpai bahawa proses OpenID mampu execute mana-mana command pada server Facebook. Dia menunjukkan bagaimana seorang hacker boleh mengakses fail /etc/passwd pada server Facebook melalui XML Code.
"Since I didn't want to cause the wrong impressions, I decided I would report the bug right away, ask for permission to try to escalate it to a [remote code execution] and then work on it while it was being fixed" kata Silva.
3 jam selepas Silva melapor kelemahan itu kepada Facebook, Pasukan Facebook dengan cepatnya mengeluarkan short term.
"We use a tool called Takedown for this sort of task because it runs on a low level, before much of the request processing happens. It allows engineers to define rules to block, log and modify requests. Takedown helped us ensure this line of code ran before anything else for any requests hitting /openid/receiver.php"
Silva kemudian menerima ganjaran $33,500 iaitu RM111,571 daripada Facebook
Posting Komentar