-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Można było banalnie przejąć dowolne konto firmowe na Facebooku. Nagroda za zgłoszenie buga: ~100 000 PLN

29 października 2018, 16:41 | W biegu | 0 komentarzy

Opis podatności tutaj. W skrócie – można importować listę własnych adminów (mając dostęp do swojego firmowego konta), przy czym… istniała możliwość zaimportowania adminów do dowolnego konta firmowego, podając po prostu jego ID i zaimportować siebie:

There is a call to import admins to a business account. The call at the time didn’t seem to have any permissions set to it. This meant it was possible to add oneself as an admin to any business.

W uproszczeniu wystarczył taki request HTTP do Facebooka:

HTTP POST
/business/aymc_assets/admins/import/
Host: facebook.com

business_id=TARGET_BUSSINESS_ID
admin_id=MALICIOUS_USER_ID
session_id:SESSION_ID

Filmik z całego procederu znajdziecie na … Facebooku ;-)

Business Takeover

Facebook Business TakeoverBounty: $27500https://philippeharewood.com/facebook-business-takeover/#bugbounty

Publiée par @phwd sur Lundi 29 octobre 2018

Badacz otrzymał od Facebooka $27 500 w ramach zgłoszenia bug bounty.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz