Казанский программист Камиль Хисматуллин обнаружил в YouTube уязвимость, позволяющую удалять видеоролики, загруженные другими пользователями. Об этом он рассказал в своем блоге.

О наличии проблемы он сообщил в Google, и компания в течение нескольких часов устранила уязвимость, выплатив программисту вознаграждение в $5 тыс.

http://www.rbc.ru/rbcfreenews/551ebfbd9a79473d38407c6e

подробнее здесь:

http://kamil.hism.ru/posts/about-vrg-and-delete-any-youtube-video-issue.html

чувак нарыл неприкрытую дырищу, когда видео можно было удалить обычным post-запросом, без использования XSS-уязвимостей и т.п.

In YouTube Creator Studio I investigated how live_events/broadcasting systems works. I wanted to find there some CSRF or XSS issues, but unexpectedly discovered a logical bug that let me to delete any video on YouTube with just one following request:

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1

event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

In response I got:

{
"success": 1
}

And the video got deleted!

я фигею, ну, как же так? лошары

Я всегда говорил, что эти ваши инторнеты - сплошная дыра

Читал где то про одного хакера бомжа, которые ломал любые сайты прямыми скл инъекциями.

:) вооот чем они занимаются по коллекторам...это объясняет общий уровень киберпреступности в мире...

(2) прямые инъекции это какие? вопрос к слову "прямые"