查看原文
其他

这两个漏洞暴露 Facebook Group 成员,有个用手机就能发现,获奖$9000

Baibhav Anand 代码卫士 2022-06-08

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

作者Baibhav Anand 分享了自己找到的两个 Facebook Group漏洞且均获得4500美元的奖金。如下是详情。


第一个漏洞


非小组成员用户可通过CometHovercardQueryRendererQuery graphQL变种判断某人是否是私密小组的成员。Doc_ID: 4997502340291357。用受害者的 actorID 修改 actorID且用想要测试的小组ID 替换 groupID,响应中如显示 “WeakEntityReference”,则这名用户并非小组成员;不过如显示的是 “StrongEntityReference”,则这名用户属于小组成员。




视频演示





第二个漏洞(手机即可实现)


通过负责显示小组成员帖子的 FbLite 中的端点就有可能披露私密小组的成员。

步骤

(1)   从 Fblite 中的 User A 账户打开小组(我是该小组成员)

(2)   从电脑中的 User A 账户,出该小组

(3)   点击成员资料(虽然无法看到小组帖子单可以看到会员日期)

(4)   退出后,仍然可看到 User B 和 User C 的会员日期

(5)   从电脑上的 User B 账户离开小组

(6)   现在看不到User B 的会员日期,原因是 User B 不再是小组成员但 User C 的会员日期仍存在。

(7)   为了进一步证实这个漏洞,我从电脑上的 User C 账户退出该小组

(8)   可以看到 User C的会员日期仍可看到,证实了该漏洞的存在。


视频演示







推荐阅读
看我如何黑掉 Facebook 并获奖金 $7500
我发现Facebook Messenger漏洞可使安卓用户互相监听,获奖6万美元
Hacker Plus:Facebook 推出漏洞奖励 “忠诚计划”



参考链接

https://spongebhav.medium.com/facebook-group-members-disclosure-e53eb83df39e


题图:Pixabay License(梵高作品)


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存