Facebook Creator应用中的session过期漏洞

iso60001  264天前

22.png

大家好!今天我要分享一个Facebook旗下应用的逻辑错误,如果想阅读更多文章也可以加入我的社群

首先,让我详细介绍一下这个facebook creator应用。

Facebook Creator Studio可以让内容创作者在同一地方管理来自Facebook的所有帖子、评论和消息。”

33.png

所以,为了安全测试,我在facebook creator应用中尝试操作了各种功能,寻找任何可能存在漏洞的角落。最终,我发现在这个应用中,即使session过期,你也依然可以进行各种敏感操作!包括发布和删除帖子!

如何利用?

根据Facebook的说法,当我们从帐户中注销所有已登录的设备时,你会在facebook creator应用上看到session过期的提示。但经我测试,实际上此时该应用中的session并没有真正过期。以下是facebook creator的提示框:

44.png

在以上这个提示框出现后,我们还是可以发布帖子。

为了演示这个漏洞,我使用了两个设备:手机和笔记本电脑。

  1. 在两台设备上登录应用

  2. 从笔记本电脑上注销了Facebook creator应用的登录

  3. session过期的提示出现在我的手机上

  4. 此时我关掉了手机的移动数据和wifi

  5. 我关闭了所有正在运行的应用,再重新打开了facebook creator

  6. 我试图在不打开wifi或移动数据的情况下创建一个帖子

  7. 当我点击上传帖子时,打开了wifi,并发现我成功发布了帖子

  8. 发布成功后,session过期的提示又出现了

此外,除了发布帖子外,删除帖子和其他敏感操作都可以用同样的流程成功实现。最终,这个漏洞为我带来了1500美元的奖励。

55.png

影响

一旦我登录了某人的facebook帐户,那么受害者无论如何注销帐户或更改密码,我也可以一直非法使用该帐户。

现在该移动应用已被Facebook下架了。

时间线

2018年8月1日:最初上报

2018年8月30日:漏洞被确认

2019年2月28日:补丁发布

2019年4月10日:奖励确认

演示视频

https://youtu.be/E3VengMBNSA

感谢你的阅读!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@evilboyajay/session-expiration-bypass-in-facebook-creator-app-b4f65cc64ce4

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋 指尖安全

nosec.org All Rights Reserved 京ICP备15042518号