Он рассказал, как заработал рекордный гонорар. Леонов обратил внимание, что функция «расшарить новость на Facebook» берет заглавное изображение новости со сторонних серверов. Выяснилось, что ни сам Facebook, ни тем более библиотека ImageMagick при этом не проверяли, действительно ли загруженный файл есть изображение формата JPEG или что-то другое.
Андрей протестировал эту функцию: уязвимость заключалась в том, что Facebook обрабатывал, как он считает, картинку, которой человек может управлять и содержание которой может изменять.
Согласно классификации международного консорциума безопасности OWASP такая уязвимость имеет самый высокий рейтинг. Опасность ее зависит от того, где исполняется этот код. Леонов связался с технической поддержкой Facebook, и ошибку исправили в ноябре 2016 года.
До ситуации с Леоновым самым большим гонораром от Цукерберга были 33,5 тыс. долларов, которые в 2014 году получил бразильский исследователь безопасности Реджинальдо Сильва, напоминает «Газета.ру».
По словам Андрея, после того как он нашел уязвимость в Facebook, на него не посыпались предложения работы или заказы. В интервью RT Леонов признался, что не верит ни в особую русскую школу, ни в русский почерк: есть просто умные ребята, которые много где рождаются. А уязвимости возможны везде.
Также читайте:
Выросло число жертв теракта в «Крокусе»
Новые кадры с места проведения спецоперации в Дагестане: боевики выявлены после теракта 22 марта (ВИДЕО)
ВКС РФ выключили Харьков
Die Welt призывает заморозить конфликт на Украине в этом году
Лукашенко распорядился открывать огонь на поражение