Το Quora είναι μια social υπηρεσία με σκοπό την ανταλλαγή γνώσεων, όπου οι χρήστες δημιουργούν ερωτήσεις και λαμβάνουν απαντήσεις από την κοινότητα.
Το Quora επιτρέπει στους χρήστες να εγγραφούν στην υπηρεσία, μέσω του λογαριασμού τους στο Facebook. Κατά την εγγραφή ο ερευνητής παρατήρησε ότι η ιστοσελίδα είχε το δικαίωμα να λάβει το διακριτικό πρόσβασης (access token) από τοOAuth του facebook, το οποίο και υπέκλεψε αξιοποιώντας ευπάθεια ανοικτής ανακατεύθυνσης.
Με την χρήση του access token, ο ερευνητής μπορούσε να αποκτήσει πρόσβαση καθώς και τα πλήρη δικαιώματα σε οποιοδήποτε λογαριασμό του Facebook.
Ο ερευνητής ενημέρωσε το Quora για την ευπάθεια, η οποία επιδιορθώθηκε άμεσα.
nooz.gr
