Facebook Creator应用中的session过期漏洞

大家好！今天我要分享一个Facebook旗下应用的逻辑错误，如果想阅读更多文章也可以加入我的社群。

首先，让我详细介绍一下这个facebook creator应用。

“Facebook Creator Studio可以让内容创作者在同一地方管理来自Facebook的所有帖子、评论和消息。”

所以，为了安全测试，我在facebook creator应用中尝试操作了各种功能，寻找任何可能存在漏洞的角落。最终，我发现在这个应用中，即使session过期，你也依然可以进行各种敏感操作！包括发布和删除帖子！

如何利用？

根据Facebook的说法，当我们从帐户中注销所有已登录的设备时，你会在facebook creator应用上看到session过期的提示。但经我测试，实际上此时该应用中的session并没有真正过期。以下是facebook creator的提示框：

在以上这个提示框出现后，我们还是可以发布帖子。

为了演示这个漏洞，我使用了两个设备：手机和笔记本电脑。

1. 在两台设备上登录应用

2. 从笔记本电脑上注销了Facebook creator应用的登录

3. session过期的提示出现在我的手机上

4. 此时我关掉了手机的移动数据和wifi

5. 我关闭了所有正在运行的应用，再重新打开了facebook creator

6. 我试图在不打开wifi或移动数据的情况下创建一个帖子

7. 当我点击上传帖子时，打开了wifi，并发现我成功发布了帖子

8. 发布成功后，session过期的提示又出现了

此外，除了发布帖子外，删除帖子和其他敏感操作都可以用同样的流程成功实现。最终，这个漏洞为我带来了1500美元的奖励。

影响

一旦我登录了某人的facebook帐户，那么受害者无论如何注销帐户或更改密码，我也可以一直非法使用该帐户。

现在该移动应用已被Facebook下架了。

时间线

2018年8月1日：最初上报

2018年8月30日：漏洞被确认

2019年2月28日：补丁发布

2019年4月10日：奖励确认

演示视频

https://youtu.be/E3VengMBNSA

感谢你的阅读！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/@evilboyajay/session-expiration-bypass-in-facebook-creator-app-b4f65cc64ce4