19岁黑客找到暴露 Facebook 页面管理员的缺陷,获4500美元奖励
编译:代码卫士
Facebook Pages 是商务、品牌和组织机构的参与枢纽,它不同于 Facebook Groups。Facebook Groups 中管理员总是可见的,而这些页面的所有人是隐藏的。
深入挖掘了 Facebook 安卓版应用后,Shah 发现了一个不安全的直接对象引用(IDOR)漏洞,它可导致攻击者披露页面管理员的身份。要使该 exploit 发挥作用,目标页面需要拥有至少一个 Facebook Live 视频。
Shah 表示,“在Facebook 安卓版本拦截并导航至任意页面的实时视频部分时,我发现了一个易受攻击的端点。当请求中的 page_id 被更改为任意 page_id 时,页面管理员暴露在 broadcaster_id 参数的响应中。它可被进一步提升,通过创建脚本的方式获取大量页面的管理员信息,并且捕获新文本文件响应中 broadcaster_id 中的管理员信息。”
Shah 表示“Page 和个人ID 是完全不同的两个东西,任意 Facebook 页面的页面管理员都应该是未知的。如果有人找到管理员的个人账户,那么这就是一个严重的信息泄露漏洞。例如,很多名人通过 Facebook 页面运营,因此如果他们的个人账户被暴露,那么就可能获取他们的个人电话号码,这是一个很大的隐私问题。”
Shah 指出自己在2021年10月5日将漏洞提交给 Facebook 安全团队,后者称赞了其研究结果并在10月7日对漏洞进行分类并告知他不要做进一步测试。
Shah 表示Facebook 公司在10月21日修复了这个漏洞,自己在11月5日获得4500美元的奖励,而这是他首次获得 Facebook 漏洞奖励。
Meta 公司的发言人证实称该漏洞已修复,并对Shah 的协同披露表示感谢。目前,Shah 在 Facebook 名人堂中排名第38位。
具体的技术详情可见:https://medium.com/pentesternepal/how-i-was-able-to-reveal-page-admin-of-almost-any-page-on-facebook-5a8d68253e0c
这两个漏洞暴露 Facebook Group 成员,有个用手机就能发现,获奖$9000
看我如何黑掉 Facebook 并获奖金 $7500
https://portswigger.net/daily-swig/teen-hacker-scoops-4-500-bug-bounty-for-facebook-flaw-that-allowed-attackers-to-unmask-page-admins
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。