Tag der Wahrheit für alle verhassten YouTube Videos
Kamil war eigentlich gerade auf der Suche nach einer Schwachstelle mittels Cross Site Request Forgery (CSRF) und Cross Site Scripting (XSS), als er zufällig über diesen gravierenden Fehler stolperte. Folgende Zeilen waren ausschlaggebend:
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1 event_id: ANY_VIDEO_ID session_token: YOUR_TOKEN
Obigen Code hat der Schwachstellen-Jäger Kamil erfolgreich getestet, und damit das angegebene Video gelöscht. Unglaublich, aber effektiv. Dazu ergänzt Kamil:
„Normalerweise verbringe ich 6-7 Stunden auf der Suche nach einer Schwachstelle. Im aktuellen Fall kommen noch ein paar Stunden hinzu, in denen ich der Vesuchung widerstehen musste, Bieber’s Video-Channel mal aufzuräumen hehe“
Erfreulicherweise wurde der Fehler seitens YouTube binnen weniger Stunden behoben. Nichtsdestotrotz war es nur haarscharf an einer mittleren Katastrophe vorbei, denn ein solcher Fehler kann in den falschen Händen immensen Schaden anrichten. Kamil selbst kann sich über eine entsprechend große Belohnung von Google freuen, schließlich hat er die größte Video-Plattform der Welt vor dem Schlimmsten bewahrt.
Wir wünschen einen guten (Video-reichen) Tag!