青少年黑客因 Facebook 漏洞获得 4,500 美元的漏洞赏金,该漏洞允许攻击者揭露页面管理员

一名来自尼泊尔的 19 岁黑客在发现一个易于利用的漏洞后,获得了 4,500 美元的漏洞赏金,该漏洞允许用户透露页面管理员的身份。

Facebook 主页被用作企业、品牌和组织的参与中心。与管理员始终可见的 Facebook 群组不同,这些页面的所有者是隐藏的。

易受攻击的端点

在对 Facebook-for-Android 应用程序进行深入研究后,道德黑客 Sudip Shah 发现了一个不安全的直接对象引用IDOR ) 漏洞,该漏洞可能允许攻击者泄露页面管理员的身份。

要使漏洞利用,目标页面必须至少有一个 Facebook Live 视频。

 

推荐 英特尔在将漏洞赏金计划迁移到 Intigriti 时增加了奖金

 

“在拦截并导航到 Facebook Android 中任何页面的实时视频部分时,我发现了一个易受攻击的端点,”Shah 告诉The Daily Swig

“当请求中的page_id更改为任何page_id 时,页面管理员将在broadcaster_id参数的响应中公开。”

研究人员补充说:“这可以进一步升级,通过创建一个脚本来获取大量页面的管理信息……并从broadcaster_id中捕获管理信息以响应新的文本文件。”

重大影响

在讨论该漏洞的潜在影响时,沙阿说:“页面和个人 ID 是完全不同的东西,任何 Facebook 页面的页面管理员都应该保持未知。

“如果有人到管理员的个人帐户,这是一个严重的信息泄露错误。例如,许多名人和大人物通过 Facebook 页面操作,所以如果他们的个人 Facebook 帐户被披露,那么就像获取他们的个人电话号码一样,这对他们的隐私来说是一个很大的问题。”

“我于 2021 年 10 月 5 日向 Facebook 安全团队报告了 [该漏洞],他们给出了‘不错的发现 :)’的回应,并在 10 月 7 日对我的报告进行了分类,并告诉我不要进行进一步的测试。

“他们在 10 月 21 日修复了这个漏洞,我在 11 月 5 日获得了 4,500 美元的奖励。我变得非常高兴,因为这是我在 Facebook 上发现的第一个影响较大的错误。”

在回应The Daily Swig的询问时,Meta 发言人证实该漏洞已在 Facebook 的 Android 应用程序中修复,并感谢研究人员的协调披露。

Shah 目前在 Facebook 的漏洞赏金名人堂中排名第 38 位。他详细介绍了他的最新发现中等职位

找人相关课程

宁波婚外情调查取证,揭秘调查小三内幕

2022-4-13 21:53:09

找人相关课程

卡纳塔克邦警察部门在调查黑客 Srikrishna 的案件时争执不休

2021-12-23 16:04:44

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索
普人特福的博客cnzz&51la for wordpress,cnzz for wordpress,51la for wordpress