W banalny sposób(*) zarobił $15 000 – zgłosił tę podatność do Snapchata

Snapchat posiada tzw. wyróżnione video:

Snapchat has viral video feature callled spotlight

Snapchat posiada też program bug bounty. A w programie bug bounty ktoś zgłosił następującą podatność:

Delete anyone’s content spotlight remotely.

Wykorzystanie podatności było rzeczywiście banalne, pod warunkiem że poświęciliśmy trochę czasu i spojrzeliśmy na żądanie HTTP zawierające następującego JSONa (zwykłe żądanie kasujące własnego spotlighta):

{„operationName”:”DeleteStorySnaps”,”variables”:{„ids”:[„███████”],”storyType”:”SPOTLIGHT_STORY”},”query”:”mutation DeleteStorySnaps($ids: [String!]!, $storyType: StoryType!) {\n deleteStorySnaps(ids: $ids, storyType: $storyType)\n}\n”}

Badacz zmienił ID na dowolne inne w platformie (zaczernione miejsce powyżej) i proszę, można kasować dowolne spotlight-video. Zgłoszenie luki zaowocowało nagrodą $15 000.

~ms