Można było tworzyć posty na dowolnej stronie facebookowej (bez posiadania uprawnień). Bug warty w sumie ~100 000 PLN

11 stycznia 2021, 15:32 | W biegu | komentarze 2
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Podatność została załatana w listopadzie 2020r. a sprowadzała się do braku sprawdzenia uprawnień przez Facebooka.

W ramach przykładu, badacz pokazał jak można by stworzyć „lewy” wpis na oficjalnej stronie Facebooka informujący że Facebook zwraca na konto podwojoną kwotę wpłaconą do nich w Bitcoinach:

Jak można było to zrobić? Wystarczyło przygotować reklamę, a w żądaniu zapisu reklamy podmienić page_id na docelowy (tam gdzie chcemy żeby znalazł się sam post).

Sama reklama się zapisywała bez błędu, choć już na podglądzie był brak uprawnień:

Co ciekawe, na potrzeby podglądu reklamy tworzony jest tzw. niewidzialny post na danej stronie (niewidzialny – czyli ma swój ID-ek oraz linka ale nie jest widoczny w feedzie). Dotatkowo na potrzeby akceptacji reklamy można wydzielić podgląd w postaci linku. A stąd już łatwo było zobaczyć jaki IDek posiadał docelowy wpis stworzony w atakowanym profilu. PoC dostępny jest na filmie tutaj.

Facebook w kilka dni załatał problem, choć badacz znalazł jeszcze jedno obejście (użycie funkcji „send to mobile” zamiast zwykłego „share”). Za znalezisko wypłacono mu $15 000, za obejście fixu – dodatkowe $15 000.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Wojciech

    Jak wygląda proces zgłaszania takich bugów? Jest jakieś konkretne miejsce, gdzie się o tym powiadamia na przykład Facebooka? W jakiej formie jest takie powiadomienie, nagrywa się np. film lub prezentuje screenshoty? Z chęcia zobaczyłbym jak to dział, na wypadek, gdybym kiedyś coś znalazł. :D

    Odpowiedz

Odpowiedz