Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
Рассылка
Получайте главные новости дня от Hi-Tech Mail.Ru

Российский специалист получил самый крупный гонорар от Facebook

Социальная сеть Facebook наградила россиянина Андрея Леонова за найденную уязвимость в безопасности сайта. «Брешь» в безопасности получила статус критической.

Андрей выяснил, что Facebook использует уязвимые версии сервиса ImageMagick. Это программный пакет для предварительной обработки изображений перед публикацией, использующийся на многих популярных сайтах. Используя брешь в безопасности, злоумышленники могли на удаленном сервере выполнять любые команды, «спрятав» код в файле изображения.

Уязвимость обнаружили и устранили еще в мае 2016 года. Однако в ноябре Андрею удалось обойти защиту Facebook. Он сразу сообщил об опасности администрации соцсети, через два дня проблему устранили.

Андрей специально для Hi-Tech Mail.Ru рассказал о своей находке:

Найденная уязвимость позволяла исполнять произвольный программный код на сервере (серверах), принадлежащих компании Facebook. Но надо понимать, что несмотря на то, что само по себе исполнение кода не есть хорошо, очень важно, где его можно исполнить. Что это были за сервера, к чему можно было получить доступ на самих серверах, на соседних.
Андрей Леонов

Награда

Ошибке присвоили статус критической. Андрей получил самое крупное вознаграждение от Facebook — 40 тысяч долларов или 2 млн 400 тысяч рублей. О своей находке Андрей рассказал в личном блоге.

Андрей Леонов также ответил на несколько вопросов Hi-Tech Mail.Ru:

Сколько времени ушло на поиск уязвимости?

— Честно говоря, сложный вопрос. После того, как я попал на страницу, где был уязвимый скрипт — ну может быть минут двадцать-тридцать на все проверки. Но тот факт, что я вообще туда попал — это случайность. До этого где-то с пару часов проверял другой сервис и уже с него попал на facebook.

- Какие инструменты использовались для поиска?

 Стандарные — браузер, burp suite (прим. редакции — ПО для тестирования безопасности веб-приложений), руки, голову и знания :)

Читайте также: Российский телеканал Russia Today заблокировали в Facebook

Расскажите друзьям о самой большой награде от Facebook — нажмите на одну из кнопок ниже для репоста
Хиты продаж и новинки
Самые лучшие цены на смартфоны
Вы подписались на рассылку.Отменить
Подписаться на рассылку
Комментарии
39
Левошкин Георгий
В ответ на комментарий от Сувлехиим Такац История переписки2
Сувлехиим Такац
не вопрос )))) прочитайте книжек 20 по 500 страниц каждая, все запомните, а потом вперед и с песней )))))
СсылкаПожаловаться
К сожалению книги (особенно по ИИ) содержат в себе 50% воды 50% маркетинга.
К другому сожалению на чернухе зарабатывают намного больше чем указано в статье за пентест
СсылкаПожаловаться
Eldar MUSIN
Молодец, Андрей! Достижения такого рода стоят намного больше чем выкрики о патриотичности.
СсылкаПожаловаться
Александр Котельников
гонорар так просто? Америка ждет своего героя в кандалах, так что чувак не расслабляйся
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru