Facebook 隨意刪照片 bug 發現者得到 12500 刀獎勵
發布時間:2013-9-5 瀏覽:3300
一位 21 歲的男生酷瑪(Kumar)發現了一個 Facebook 可隨意刪除照片的 bug,上報 bug 之后得到 Facebook 12500 美刀的獎勵。該 bug 的發現需要一點細心,不需要太多技術。具體是這樣的——
Facebook 允許用戶舉報其他用戶照片,允許用戶要求 Facebook 刪除其他用戶照片。這個政策的存在原因我們都可以想到啦,比如陳攝影師的照片如果開放給所有人瀏覽肯定是會被舉報處理的。
Facebook 的照片舉報政策非常貼心,在用戶甲舉報用戶乙的某張照片之后,Facebook 會給用戶乙發送一份通知,通知中會給出一個刪除照片鏈接。Bug 就出在這份通知中,通知源代碼中的'photo_id' (照片名)和 'Owners Profile_id'(照片上傳者名字)可以隨意更改。這意味著什么呢?意味著你想要刪除任何人的任何照片都可以,只要你將通知代碼更改,就可以得到刪除照片鏈接,且照片刪除之后不會發出任何通知,在照片主人不查看這張被刪除照片的情況下,無人會發現已經有照片被刪除。
酷瑪將這個 bug 上報之后,得到 Facebook 12500 美刀獎勵。Facebook 為獎勵上報 bug 的同學們,兩年支出一百萬美金,一般情況下是比較慷慨的。少數情況下會表現吝嗇,比如月前那位黑進扎克伯格主頁上報 bug 的同學。
粵公網安備 44010602000562號
