freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Facebook存在漏洞,攻击者可创建不可见的帖子
2021-01-12 16:39:58

一位安全研究人员证实,可在未经授权的情况下,在任意Facebook页面上创建不可见的帖子。在Facebook发布补丁后,该研究人员又迅速绕过了补丁。借此,该研究人员从Facebook获得了3万美元的漏洞赏金。

该研究人员Pouya Darabi表示,利用该漏洞的攻击者可以在另一个组/个人/页面中共享一篇帖子,并且该帖子将显示为源于受害者的页面。

攻击者甚至可以在Facebook验证过的页面上植入恶意帖子。Darabi指出,“用户信任这些网页,因为他们知道这些网页是官方认可的。”

以Facebook自己的社交媒体页面易受攻击为例,他补充道:“用户可以确定网站地址(facebook.com),并点击该页面,他们将再次进入Facebook官方页面,因此该页面的合法性毋庸置疑。

Darabi利用Facebook的Creative Hub中的一个严重安全漏洞构造了exp,两个exp分别获得了1.5万美元的赏金。

营销人员可以在Creative Hub中模拟广告,创建“不可见”的帖子(这意味着这些帖子在Facebook页面上不公开),以便在发布之前通过直接链接预览并与同事私下分享这些广告。

“页面管理员无法查看或删除它们,因为它们没有任何链接。”Darabi在一篇概述其发现的博客文章中指出。

在他自己的Facebook页面上创建了一个不可见的帖子后,该研究人员劫持了Facebook创建帖子的请求,并将page_id切换到了假想受害者的page_id。该更改被适当地保存,没有任何错误或问题。

“在生成预览之前检查了权限”表明Facebook认为Darabi对目标页面拥有合法的广告客户角色。

该研究人员接着表示,Creative Hub最近添加了一个用于与同事共享模型预览的功能,单击共享按钮后,该API将使用一个新的可共享URL进行响应,如下所示:https://www.facebook.com/ads/previewer/__PREVIEW_KEY__。

问题是在共享页面上生成预览帖子之前,权限检查丢失了。

Darabi补充道,“在GraphQL请求中保存模型之前更改page_id,然后获取它的可共享链接,使我们能够在任何页面上创建帖子。我们需要做的就是找到任何广告预览端点上存在的post_id。最后,我们在受害者不知情的情况下在其页面上创建了一个不可见的帖子!该共享功能还允许我们在不发送链接的情况下进行攻击。”

Darabi随后利用一个请求绕过了Facebook的补丁,该请求AsyncRequest.post('/ads/previewer/notify_mobile/__PREVIEW_KEY__',{})创建了一个帖子页面并向他的移动设备发送了一条通知。

“发送到手机”功能随后在没有检查权限的情况下再次创建了一个预览页面。

研究人员于11月6日向Facebook报告该漏洞,后者于11月11日实施了第一次修复。

但是该研究人员在11月12日通知Facebook该补丁可被绕过,该广告和社交媒体巨头于11月20日推出了最终的补丁。

Facebook称尚未发现该漏洞遭到滥用的证据。

在对Darabi的回应中,该平台表示,如果该漏洞允许攻击者创建可见的帖子,那么该漏洞赏金金额会更高。

作者:Adam Bannister
来源:Port swigger

本文作者:, 转载请注明来自FreeBuf.COM

# 资讯
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑