facebook群组管理的奇怪漏洞

iso60001  2138天前

22.jpg

大家好!这篇文章我将描述一个我刚刚上报给Facebook的在群组管理方面的漏洞。Facebook在我上报漏洞的两个月之内修复了它,并且给了我500美金的奖励。

漏洞描述

在管理你的facebook群组时,你可以通过你的facebook主页而不是你的个人信息进行交互。在开始描述前,我希望你熟悉一些facebook群组相关的要点。

  1. 群组创建者:群组创建者可以添加任意数量的管理员和版主,其他管理员不能删除。

  2. 链接页面:管理员可以将他们的facebook主页绑定到该群组,并通过主页而不是个人信息的形式进行交互来管理群组。

  3. 已发布页面:已发布facebook页面内容对公众始终可见。但未发布的页面对公众不可见。它仅对这个页面的管理人可见。

所以,有一天,我突然想到了一个有关未发布页面的漏洞。我想:“如果一个群组创建者不是我页面的管理员,并且我将我的页面绑定到该组并取消发布,他是否能够在管理员列表中看到我的页面?”

然后我立即拿起手机进行了测试。发现小组创建者能够在“管理员列表”中看到我的页面。然后我点击“删除”按钮,砰!!我既不能看它,也不能删除它!作为管理员删除未发布的页面时,群组创建者总是会被错误信息拦截。我在多个版本上测试过它,除了桌面版本的应用外,所有版本的应用都存在这个问题。

33.jpg

影响

  1. 一个恶意群组管理员可以将未发布的页面添加为管理员,其他管理员和群组创建者无法删除该特定页面。

  2. 由于被绑定的页面始终代表管理员身份,因此管理该页的所有人员都有管理权限。如果恶意群组管理员被移除管理员身份,他仍然可以使用上述方法非法得到管理员权限。

局限

  1. 攻击者必须已经是群组管理员。

  2. 桌面版用户不受影响。

复现步骤

安装程序

===

  • 2个Facebook帐户(admin1、admin2)

  • facebook页面(admin2是管理员)

步骤

===

  1. admin1创建了一个facebook组(群组原始创建者,不能被其他管理员删除)

  2. admin1将admin2添加为管理员(admin2=攻击者)

  3. admin2将他的页面绑定到群组。

  4. admin2将页面改为未发布状态。

  5. 现在,当admin1在facebook的非桌面版facebook上访问该群组时,他不能删除这个恶意页面。

总结

此漏洞目前已被Facebook修复,无法再复现。

我非常感谢Facebook安全团队漏洞悬赏计划,给了我不低的奖励。

谢谢你的阅读!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/p/2cbf4faf55c1?source=user_profile---------2------------------

最新评论

昵称
邮箱
提交评论