facebook群组管理的奇怪漏洞

大家好！这篇文章我将描述一个我刚刚上报给Facebook的在群组管理方面的漏洞。Facebook在我上报漏洞的两个月之内修复了它，并且给了我500美金的奖励。

漏洞描述

在管理你的facebook群组时，你可以通过你的facebook主页而不是你的个人信息进行交互。在开始描述前，我希望你熟悉一些facebook群组相关的要点。

1. 群组创建者：群组创建者可以添加任意数量的管理员和版主，其他管理员不能删除。

2. 链接页面：管理员可以将他们的facebook主页绑定到该群组，并通过主页而不是个人信息的形式进行交互来管理群组。

3. 已发布页面：已发布facebook页面内容对公众始终可见。但未发布的页面对公众不可见。它仅对这个页面的管理人可见。

所以，有一天，我突然想到了一个有关未发布页面的漏洞。我想：“如果一个群组创建者不是我页面的管理员，并且我将我的页面绑定到该组并取消发布，他是否能够在管理员列表中看到我的页面？”

然后我立即拿起手机进行了测试。发现小组创建者能够在“管理员列表”中看到我的页面。然后我点击“删除”按钮，砰！！我既不能看它，也不能删除它！作为管理员删除未发布的页面时，群组创建者总是会被错误信息拦截。我在多个版本上测试过它，除了桌面版本的应用外，所有版本的应用都存在这个问题。

影响

1. 一个恶意群组管理员可以将未发布的页面添加为管理员，其他管理员和群组创建者无法删除该特定页面。

2. 由于被绑定的页面始终代表管理员身份，因此管理该页的所有人员都有管理权限。如果恶意群组管理员被移除管理员身份，他仍然可以使用上述方法非法得到管理员权限。

局限

1. 攻击者必须已经是群组管理员。

2. 桌面版用户不受影响。

复现步骤

安装程序

===

• 2个Facebook帐户（admin1、admin2）

• facebook页面（admin2是管理员）

步骤

===

1. admin1创建了一个facebook组（群组原始创建者，不能被其他管理员删除）

2. admin1将admin2添加为管理员（admin2=攻击者）

3. admin2将他的页面绑定到群组。

4. admin2将页面改为未发布状态。

5. 现在，当admin1在facebook的非桌面版facebook上访问该群组时，他不能删除这个恶意页面。

总结

此漏洞目前已被Facebook修复，无法再复现。

我非常感谢Facebook安全团队漏洞悬赏计划，给了我不低的奖励。

谢谢你的阅读！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/p/2cbf4faf55c1?source=user_profile---------2------------------