idor
印度小哥的自拍有点曝光过度了啊
facebook能给出这么高的奖励,好棒啊
发现Facebook零日漏洞,获得10万7千元人民币奖励
安全研究人员发现Facebook存在零日漏洞!可以接管Facebook的任何页面。
Facebook几乎是中小企业推广自家产品的最高效又低成本的平台。合理借用Facebook的关键在于装帧好某项产品或服务的Facebook页面,品牌、企业、组织和名人都可以在这里大展身手,将产品或服务推送给目标受众的粉丝。任何人都可以创建Facebook页面,并以趣味性吸引到意趣相投的潜在客户。关注者会收到内容提要的自动更新。
该安全漏洞于2016年8月29日报告给Facebook。Arun运。Facebook安全团队表示,该0day漏洞非常关键,在研究他的报告时,Facebook发现并修复了另一个漏洞。Arun很幸运,这使得他获得的总漏洞奖励远高于对常见支付页面漏洞的奖励。2016年9月16日,Arun获得了1万6千美元(约合10万7千元人民币)的漏洞奖励。
漏洞原理——IDOR接管任意页面
安全研究员Arun Sureshkumar(图片来自Facebook)
一名来自印度的安全研究员,Arun Sureshkumar,发现了facebook处理其业务请求中的0day漏洞,Arun的博客写道,这漏洞使他甚至能操纵像奥巴马总统、莫迪总理等任何人的Facebook主页。
Arun发现他可以以业务经理0day玩弄Facebook,使用不安全的直接对象引用,访问任意Facebook网页。
以下为Arun的相关视频地址:
https://www.youtube.com/watch?time_continue=131&v=BSnksWX5Kn0
问题都是围绕着不安全的直接对象引用,也被称IDOR。它是指当引用到一个内部实现对象,如一个文件或数据库键,引用对象将被暴露给没有任何其他访问控制的用户。如此一来,攻击者可以操纵这些引用来获取未经授权的数据。在Facebook案例中,Facebook业务经理(Facebook Business Manager)在10秒内就可能接管任意Facebook页面 Facebook业务经理让企业更安全地共享和控制访问到他们的广告和主页。一家企业的任何员工能在同一地点看到他们做出的页面和广告,无需共享登录信息或关联到他们同事的Facebook账户。Arun还写道,攻击者可以对接管的页面做仍和破坏,包括删除页面。
Arun的发现:
Arun开通了两个Facebook商业账户,一个是他自己的身份,另一个用来测试。然后他用自己的ID加了一个好友,并使用Burp Suite拦截了此加好友要求。之后,他用代理ID改变了业务ID,用页面ID改变了资产ID。他想破解,一旦完成了ID改变,这名研究人员被要求成为页面的管理者角色。几秒内,Arun在目标网页有管理员权限,因而他可以通过业务经理在平台上执行任何动作。
本文由漏洞银行(BUGBANK.cn)小编 Feya 编译,源文译自 hackread.com。
相关阅读
什么是网站渗透测试? 该如何做网站安全检测网站的渗透测试简单来 说就是模拟攻击者的手法以及攻击手段去测试网站的漏洞,对网站进行
深入解析sprintf格式化字符串漏洞 0x00 前言 从相遇到相识 从相识到相知 ......... 不过你真的懂ta吗 这次故事的主角是PHP中的
环境 攻击机器:ubuntu 18.04被攻击机器:windows xp sp2 可能使用的工具 metasploitnessusnmap等 正文 首先搭建所需要的靶机环境
A5创业网(公众号:iadmin5)1月30日报道,近日不少媒体曝出了苹果iPhone手机中的FaceTime功能出现了隐私漏洞,当用户在使用该功能时,可以在
最近忙于工作没有抽出时间来分享渗透测试文章,索性今天由我们Sinesafe的高级渗透大牛给大家详细讲下主要在业务中发现逻辑和越权