Facebook能给出这么高的奖励,好棒啊
发现Facebook零日漏洞,获得10万7千元人民币奖励
安全研究人员发现Facebook存在零日漏洞!可以接管Facebook的任何页面。
Facebook几乎是中小企业推广自家产品的最高效又低成本的平台。合理借用Facebook的关键在于装帧好某项产品或服务的Facebook页面,品牌、企业、组织和名人都可以在这里大展身手,将产品或服务推送给目标受众的粉丝。任何人都可以创建Facebook页面,并以趣味性吸引到意趣相投的潜在客户。关注者会收到内容提要的自动更新。
该安全漏洞于2016年8月29日报告给Facebook。Arun运。Facebook安全团队表示,该0day漏洞非常关键,在研究他的报告时,Facebook发现并修复了另一个漏洞。Arun很幸运,这使得他获得的总漏洞奖励远高于对常见支付页面漏洞的奖励。2016年9月16日,Arun获得了1万6千美元(约合10万7千元人民币)的漏洞奖励。
漏洞原理——IDOR接管任意页面
安全研究员Arun Sureshkumar(图片来自Facebook)
一名来自印度的安全研究员,Arun Sureshkumar,发现了facebook处理其业务请求中的0day漏洞,Arun的博客写道,这漏洞使他甚至能操纵像奥巴马总统、莫迪总理等任何人的Facebook主页。
Arun发现他可以以业务经理0day玩弄Facebook,使用不安全的直接对象引用,访问任意Facebook网页。
以下为Arun的相关视频地址:
https://www.youtube.com/watch?time_continue=131&v=BSnksWX5Kn0
问题都是围绕着不安全的直接对象引用,也被称IDOR。它是指当引用到一个内部实现对象,如一个文件或数据库键,引用对象将被暴露给没有任何其他访问控制的用户。如此一来,攻击者可以操纵这些引用来获取未经授权的数据。在Facebook案例中,Facebook业务经理(Facebook Business Manager)在10秒内就可能接管任意Facebook页面 Facebook业务经理让企业更安全地共享和控制访问到他们的广告和主页。一家企业的任何员工能在同一地点看到他们做出的页面和广告,无需共享登录信息或关联到他们同事的Facebook账户。Arun还写道,攻击者可以对接管的页面做仍和破坏,包括删除页面。
Arun的发现:
Arun开通了两个Facebook商业账户,一个是他自己的身份,另一个用来测试。然后他用自己的ID加了一个好友,并使用Burp Suite拦截了此加好友要求。之后,他用代理ID改变了业务ID,用页面ID改变了资产ID。他想破解,一旦完成了ID改变,这名研究人员被要求成为页面的管理者角色。几秒内,Arun在目标网页有管理员权限,因而他可以通过业务经理在平台上执行任何动作。
本文由漏洞银行(BUGBANK.cn)小编 Feya 编译,源文译自 hackread.com。
