Мы столкнулись на LinkedIn с проблемой безопасности, которая позволяла удалить любой пост с профиля частного лица или компании. Обнаружив эту уязвимость, мы немедленно сообщили в отдел безопасности компании, что в защите есть брешь, через программу Bug Bounty.

Воспользовавшись этим багом, злоумышленники могли отправить особым образом составленный запрос на сервера LinkedIn, и это привело бы к удалению того или иного поста с платформы. Если бы эту проблему не решили, уязвимость можно было бы использовать для устранения важных сведений о лицах или компаниях, что нанесло бы последним серьезный урон.

Получив сообщение о баге, отдел безопасности LinkedIn тут же стал разбираться в ситуации. Они предприняли необходимые шаги, чтобы устранить уязвимость, и предотвратили возможные инциденты в будущем.

Запрос с уязвимостью:

POST /mwlite/feed/deletePost/?csrfToken=ajax:6083619284478736796 HTTP/1.1
Host: www.linkedin.com

{"objectUrn":"urn:li:activity:6390481093803499520"}



Действия в ходе сессии на Burp Suite

Мы перечислили следующие шаги, чтобы воссоздать картину уязвимости:

• При помощи Burp Suite записать запрос с уязвимостью из своей собственной сессии.
• В запросе с уязвимостью поменять содержимое “objectUrn” на идентификатор поста из активности пользователя.
• Запустить измененный запрос заново в том же Burp Suite. Пост будет удален с аккаунта жертвы.

Действуя таким образом, злоумышленники могли воспользоваться уязвимостью для удаления любого поста с любого аккаунта, даже не пройдя должным образом авторизацию.

Одиннадцатого апреля 2023 года проблема получила публичное освещение, а нам выплатили десять тысяч долларов по программе Bug Bounty. Дополнительная информация о баге опубликована здесь.