Anand Prakash ชาวอินเดียพบช่องโหว่ Insecure Direct Object References จำนวน 4 ช่องโหว่ที่พารามิเตอร์ owner_id บนเว็บไซต์ studio.twitter.com ซึ่งประกอบไปด้วยช่องโหว่ดังนี้
1. ทวิตข้อความด้วยบัญชีของใครก็ได้
2. อัพโหลดไฟล์มีเดียประเภทรูปภาพหรือวีดีโอด้วยบัญชีของใครก็ได้
3. ลบวีดีโอออกจากบัญชีของใครก็ได้
4. เข้าถึงไฟล์มีเดียของบัญชีใดๆ ที่ตั้ง Private ไว้ได้
โดยได้เงินรางวัลจากการรายงานช่องโหว่ดังกล่าวไปจำนวน $5,040 หรือประมาณ 1.7 แสนบาท
ที่มา: anandpraka
You must be logged in to post a comment.