本文的漏洞属于页面管理信息泄露类的漏洞,是facebook业务中出现的漏洞,其他厂商也有可能出现类似漏洞;
漏洞描述
此漏洞可能允许恶意用户识别创建页面事件的页面管理员。 这是有可能的,因为页面管理员的 Facebook ID 作为端点/events/dialog/edit/page/?event_id=EVENT_ID&acontext=0响应的一部分被泄露
漏洞影响
它将主页管理员的个人身份披露给主页以外的人。
复现步骤
1.
业务理解:
PageA - 目标页面
Alice 为 PageA 的管理员; id = 111111
舞会 - 由 PageA 主办的活动; 由爱丽丝创建; 事件 ID = 999999
PageB - Charlie 拥有的页面
查理 - 攻击者; PageB 上的管理员;
Alice 添加 PageB 作为舞会的co-host
3.
作为 PageB 的管理员,查理接受了邀请。
先要清理掉之前的事件
Charlie 打开浏览器的开发工具。 他在控制台选项卡上运行以下 AsyncRequest。(其实就是在当前页面点击了edit这个按钮,实现了一个ajax)
new AsyncRequest('https://www.facebook.com/events/dialog/edit/page/?event_id=999999&acontext=0').send()
这应该运行没有任何错误并且应该返回“true”。
Charlie 通过切换到 Network 选项卡来检查响应。
6.Charlie 复制了整个响应并将其粘贴到文本编辑器或在线 JSON 格式化程序中。
此漏洞获得fb奖金500美元
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
