嵌入式风险
使用嵌入式YouTubeplay体育能用吗be视频开设一个网站可能允许歹徒访问用户的查看历史,收藏夹和播放列表。
安全的错误 - 从谷歌获得了一个谦虚的1,337美元 - 被安全研究员大卫·斯·斯··斯··斯··斯··斯···斯··斯··斯··本周在本周早些时候去了详细的技术博客帖子。
Schutz解释说,他以一种以“意外”方式将两件事连接在一起,他发现了脆弱性。
YouTube(YT)有一个嵌入式播放器,允许网站开发人员将视频嵌入到自己的网站中。beplay体育能用吗此播放器还具有API,它使用户能够控制和获取有关播放器的信息。
这允许用户例如播放/暂停播放器,加载新的视频/播放列表,并列出当前播放播放列表的内容。
“这当然是按预期工作的,”Schutz告诉每日SWbeplay2018官网IG.。“在YT中,每个人都有一些特殊的私人播放列表,比如(当时)播放列表与ID'HL'包含用户的手表历史,用户的手表稍后,等等。”
还有一个特殊的上传播放列表,“当渠道所有者查看时,列出了所有上传的视频,包括未列入的视频”。
偷了历史
Schutz解释了瑕疵:“由于YT嵌入式播放器也被登录到YT,恶意网站可以嵌入一名球员,指示它发挥e。beplay体育能用吗“HL”播放列表(它将开始播放当前访问的用户的观看历史记录),并使用嵌入式播放器的API获取播放列表的内容,从而窃取打开网站的用户的手表历史记录。“beplay体育能用吗
他继续说:“攻击者也可以为特定受害者准备一页,当那个受害者开放时,将窃取受害者的未列出的视频(否则需要了解要观看的身份证)。”
Schutz的博客文章继续列出以利用错误的其他方式。
“主要问题是,您能够以受害者的名义将私人播放列表加载到玩家中,后来窃取这些私人播放列表的内容,”他得出结论。
每日SWbeplay2018官网IG.问谷歌评论Schutz的调查结果,但我们还没有听到回复。
Schutz先前披露了另外两个YouTube安全缺陷,包括一个支持的如果您知道其ID,则盗窃任何私人YouTube视频。