Получить доступ к Pornhub?
Проэксплуатировав уязвимости (в PHP), эксперты получили доступ к пользовательским данным крупнейшего «клубничного» сайта Pornhub. Две уязвимости (use-after-free уязвимости: CVE-2016-5771 и CVE-2016-5773) были обнаружены в PHP Русланом Хабаловым (Стажер Google Sofware), Дарио Вейсером (ИБ-эксперт), исследователем с ником @_cutz. Они нашли и продемонстрировали как работает RCE-уязвимость, обнаружили 0-day баги в PHP. С помощью этих уязвимостей исследователи выполнили код и получили полный доступ к базе данных Pornhub. Был получен доступ к файлу /etc/passwd, возможность произвольного запуска системных вызовов.
Согласно заключению экспертов, уязвимость была найдена в алгоритме коллектора мусора PHP, данные могли удаленно эксплуатироваться в контексте функции unserialize. Сам процесс обнаружения и эксплуатации уязвимостей простым не назовешь, но как результат — полный доступ к пользовательским данным и исходному коду подсайтов Pornhub. Экспертам удалось отслеживать действия пользователей, кроме того, выполнять действия с правами суперпользователя. Они создали вредоносный пейлоуд, использовавший память, освободившуюся после работы garbage collection алгоритма, который запускался после механизма десериализации PHP. Благодаря чему на сервере PornHub удалось выполнить вредоносный код.
Администрация Pornhub вознаградила исследователей за обнаружение такой бреши, им было выплачено $20 тысяч вознаграждения, компания Internet Bug Bounty также выплатила им по $2 тысячи за обнаружение уязвимостей в PHP.
Еще 13 мая этого года Pornhub пообещал заплатить пользователям, которым удастся взломать сайт и сообщить о его уязвимостях, планировалось выплатить от 50 долларов до 25 тысяч, в зависимости от сложности бага. На данный момент разработчики PHP уже устранили обнаруженные проблемы.
Комментарии (46)
sumanai
27.07.2016 10:59unserialize
Вообще там часто обнаруживают уязвимости, и не только в PHP. Я бы вообще по-остерегался сериализовать пришедшие от пользователя данные без их строгой проверки.
GamePad64
27.07.2016 12:25+3Вообще, по-хорошему сериализатор должен сам проверять данные. Мне, как разработчику, должно быть всё равно, что там внутри сериализованных данных, их нужно рассматривать как opaque string. Если есть какая-то ошибка в сериализованных данных, то сериализатор должен сообщить об ошибке.
nerudo
27.07.2016 12:40+4Надо было так:
«Администрация Pornhub вознаградила исследователей за обнаружение такой бреши, им была выдана пожизненная подписка»
altix
27.07.2016 12:54Pornhub? Там все скучно.
Osaul
27.07.2016 12:58+4А сообщите, где по-интересней будет… :)
altix
27.07.2016 13:09+3С живой девушкой! Если она, конечно, имеется :)
kurtov
27.07.2016 13:59+9А Pornhub с живой девушкой еще лучше.
AntiForeZz
27.07.2016 17:40Но еще лучше с двумя.
Osaul
27.07.2016 18:36+1Хоть..., главное чтобы сил хватило ;)
AntiForeZz
27.07.2016 18:49+2Силы это одно, можно чередовать с небольшим промежутком времени. БОльшая беда — уговорить этих самих девушек. Они же почти все собственницы.
Priapus
27.07.2016 23:55+1Вот! Человека, познавшего жизнь, сразу видно. Судя по зрелости ваших суждений, вам уже лет 25 стукнуло? ))
AntiForeZz
28.07.2016 00:18Да, вот недавно стукнуло 25. Но заметить написанное мною выше можно глядя на одноклассниц еще где-то в средней школе.
Fen1kz
27.07.2016 15:02-2Это с живой девушкой скучно. А на сайте все без комплексов, а бывает что и несколько.
Osaul
27.07.2016 15:22Настоящая девушка всегда лучше любой виртуальной.
Fen1kz
27.07.2016 16:10Не всегда. Во-первых девушка с ЗППП однозначно хуже виртуальной. Во-вторых некрасивые, грязные и прочее. В-третьих кому-то действительно могут нравится оргии или необычное порно, а с «настоящей девушкой» будет скучно.
Так что уберите максимализм и не навязывайте свое «настоящее» мнение окружающим.
TashaFridrih
27.07.2016 16:22+2что ж не везет Вам так… грязные, некрасивые… еще и с ЗППП…
Fen1kz
27.07.2016 17:42-5Да и вам тоже не особо повезло. Я про себя ни слова, а вы в силу низкого интеллекта подумали, что я про личный пример. Не надо так!
Да и в жизни всё бывает, поэтому «всегда лучше» априори неверный аргумент.TashaFridrih
27.07.2016 17:47+2что ж Вы так агрессивны и злобны?))) признаки нехватки тепла и радости)
Fen1kz
27.07.2016 18:46-3Это вы агрессивны, а не я. 2 раза перешли на личности уже, сначала решили несмешно подстебать, огребли и сразу меня агрессивным выставлять. Прекратите, убогая.
А, то что я напомнил, что настоящие девушки бывают не только прекрасными и чистыми — это теперь признак моего личного невезения, неуспехов и агрессии? Seriously? :DTashaFridrih
27.07.2016 18:55+2Вы неправильно тогда доносите свои мысли окружающим, облекая их в слова)) не всем дано) увы. Закроем же тему, утомили… Спишем же все на мой низкий уровень интеллекта ( как было написано Вами, и заметьте, Вы умеете не переходить на личности — )))
Roseluck
27.07.2016 19:30+2Как же туго нынче с настоящим, смею я заметить. =( Сам уже становишься каким-то искусственным.
Sevka
27.07.2016 15:13+8Тот случай, когда надо было срочно придумать отмазу, что ты делал на порнохабе.
saboteur_kiev
27.07.2016 19:14+1Казалось бы частный ресурс PornHub, а ведет себя гораздо больше «уважаемых» банковских структур.
За баг заплатил, еще и тут же предложил за находку еще бОльшую сумму.
Сразу видно, где работают нормальные инженеры безопасности, и что ИБ и пиарщики работают сообща.
PaulMaul
В PHP 7.0.x этой уязвимости посему-то не было, только в 5.x.x.