freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

挖洞经验 | Facebook商务平台商家管理员账户添加漏洞( $27,500)
2018-11-30 13:00:49

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

facebook-for-business.jpg这里要分享的是一个关于Facebook商务管理平台网站(https://www.facebook.com/business/)的漏洞,攻击者通过构造特定的POST请求消息,可以向特定商家的后台管理员账户组中,添加任意具备管理员权限的账户,进而实现对Facebook商家后台和相关应用的管理控制。

Facebook Business介绍

Facebook商务管理平台(Facebook Business)是一个免费的 Facebook 平台,旨在帮助广告主集成业务的全部 Facebook 营销活动和外部合作伙伴。商家将能够投放和追踪广告,管理主页和广告帐户等资产,并添加经销商或营销合作伙伴,帮助管理业务。

Facebook Business是一个面向所有人的平台。各种规模的商家均可使用商务管理平台集中管理所有业务资产和信息,从而有条不紊地开展业务。借助商务管理平台等中央商务中心,商家可以全面掌控 Facebook 资产,安全地管理用户访问权限,向合适的用户授予适当额度的权限。Facebook商务管理平台中的商家管理员账户(admin),可管理商家平台和主页中的所有设置、用户和权限。

漏洞原因及测试

在Facebook Business商家主页的管理设置中,存在着一个向商家后台添加管理员账户的调用请求,该请求没有任何权限限制,攻击者可以向任意商家后台添加一个具备管理员权限的用户。大致的POC代码如下:

HTTP POST

/business/aymc_assets/admins/import/

Host: facebook.com

business_id=TARGET_BUSINESS_ID

admin_id=MALICIOUS_USER_ID

session_id=SESSION_ID

其中,business_id代表了目标商家的ID号,admin_id代表了想要添加进入的用户ID号,这两个编号都可以通过抓包形式了解到具体的构造格式。

PoC视频:

漏洞影响

利用该漏洞,攻击者可以在不具备任何身份角色的情况下,向任意商家后台添加一个具备管理员权限的用户,以此获得对商家Facebook业务相关的后台管理、商务主页、广告账户、应用程序和Instagram账户的管理控制权限。

漏洞上报进程

2018.10.9    向Facebook安全团队上报漏洞

2018.10.9    Facebook进一步分析验证

2018.10.10   Facebook把相关存在漏洞的服务端移除

2018.10.15   Facebook再次审计确认

2018.10.15   Facebook修复漏洞

2018.10.17   Facebook向我发放 $27,500 美金的赏金

*参考来源:philip,clouds编译,转载请注明来自FreeBuf.COM 

# facebook
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者