Można było banalnie przejąć dowolne konto firmowe na Facebooku. Nagroda za zgłoszenie buga: ~100 000 PLN

29 października 2018, 16:41 | W biegu | 0 komentarzy
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Opis podatności tutaj. W skrócie – można importować listę własnych adminów (mając dostęp do swojego firmowego konta), przy czym… istniała możliwość zaimportowania adminów do dowolnego konta firmowego, podając po prostu jego ID i zaimportować siebie:

There is a call to import admins to a business account. The call at the time didn’t seem to have any permissions set to it. This meant it was possible to add oneself as an admin to any business.

W uproszczeniu wystarczył taki request HTTP do Facebooka:

Filmik z całego procederu znajdziecie na … Facebooku ;-)

Business Takeover

Facebook Business TakeoverBounty: $27500https://philippeharewood.com/facebook-business-takeover/#bugbounty

Publiée par @phwd sur Lundi 29 octobre 2018

Badacz otrzymał od Facebooka $27 500 w ramach zgłoszenia bug bounty.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz