大家好!这篇文章我将描述一个我刚刚上报给Facebook的在群组管理方面的漏洞。Facebook在我上报漏洞的两个月之内修复了它,并且给了我500美金的奖励。
在管理你的facebook群组时,你可以通过你的facebook主页而不是你的个人信息进行交互。在开始描述前,我希望你熟悉一些facebook群组相关的要点。
群组创建者:群组创建者可以添加任意数量的管理员和版主,其他管理员不能删除。
链接页面:管理员可以将他们的facebook主页绑定到该群组,并通过主页而不是个人信息的形式进行交互来管理群组。
已发布页面:已发布facebook页面内容对公众始终可见。但未发布的页面对公众不可见。它仅对这个页面的管理人可见。
所以,有一天,我突然想到了一个有关未发布页面的漏洞。我想:“如果一个群组创建者不是我页面的管理员,并且我将我的页面绑定到该组并取消发布,他是否能够在管理员列表中看到我的页面?”
然后我立即拿起手机进行了测试。发现小组创建者能够在“管理员列表”中看到我的页面。然后我点击“删除”按钮,砰!!我既不能看它,也不能删除它!作为管理员删除未发布的页面时,群组创建者总是会被错误信息拦截。我在多个版本上测试过它,除了桌面版本的应用外,所有版本的应用都存在这个问题。
一个恶意群组管理员可以将未发布的页面添加为管理员,其他管理员和群组创建者无法删除该特定页面。
由于被绑定的页面始终代表管理员身份,因此管理该页的所有人员都有管理权限。如果恶意群组管理员被移除管理员身份,他仍然可以使用上述方法非法得到管理员权限。
攻击者必须已经是群组管理员。
桌面版用户不受影响。
安装程序
===
2个Facebook帐户(admin1、admin2)
facebook页面(admin2是管理员)
步骤
===
admin1创建了一个facebook组(群组原始创建者,不能被其他管理员删除)
admin1将admin2添加为管理员(admin2=攻击者)
admin2将他的页面绑定到群组。
admin2将页面改为未发布状态。
现在,当admin1在facebook的非桌面版facebook上访问该群组时,他不能删除这个恶意页面。
此漏洞目前已被Facebook修复,无法再复现。
我非常感谢Facebook安全团队漏洞悬赏计划,给了我不低的奖励。
谢谢你的阅读!
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场 来源:https://medium.com/p/2cbf4faf55c1?source=user_profile---------2------------------
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.