雅虎为 Flickr 帐户劫持漏洞猎手授予 7,000 美元赏金
雅虎为 Flickr 帐户劫持漏洞猎手 Michael Reizelman 授予 7,000 美元赏金。
Reizelman 是一位颇受欢迎的漏洞猎手,善于挖掘 Badoo、Dropbox、GitHub、Google、Imgur、Slack、Twitter 与 Uber 等多种网络服务漏洞。他在不久前发现,如果将存在于雅虎图像与视频托管服务的三个漏洞配合使用可成功接管 Flickr 帐户。
Reizelman 发现用户每次登录 Flickr.com 帐户都会被重定向至 login.yahoo.com 域进行身份验证。如果用户已登录,就会在后台被重定向至 login.yahoo.com。此外,login.yahoo.com 请求用于获取用户访问令牌。
据悉,Reizelman 最初在 flickr.com 搜索开放式重定向漏洞并加以利用,但以失败告终。随后,他设计出另一种漏洞利用方法,即通过使用 标签将受攻击者控制的服务器存储图像文件嵌入 Flickr.com 页面。调查表明,黑客在攻击过程中必须诱导用户点击特制链接以获取访问令牌并接管受害者 Flickr 帐户。
Reizelman 于 4 月 2 日发现与报告该漏洞,并因此获取 7,000 美元赏金。据悉,雅虎公司通过 HackerOne 执行漏洞赏金计划。
原作者:Pierluigi Paganini, 译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平同匈牙利总理共同会见记者 4965074
- 2 中法将联合修复巴黎圣母院 4957921
- 3 原天上人间老板被美国驱逐出境 4853082
- 4 谱写中匈友好合作新篇章 4772848
- 5 男子救人牺牲 妻子将百万奖励给公婆 4605027
- 6 前4个月中国外贸向好态势进一步巩固 4589622
- 7 上海外滩特警回应因为太帅走红 4403907
- 8 44岁女子生二胎当妈又当奶奶 4384245
- 9 台湾地震把福州乌塔震歪?假的 4275371
- 10 妇科检查:被“鸭嘴钳”支配的恐惧 4109688