挖洞经验 | Facebook商务平台商家管理员账户添加漏洞

2018 年 11 月 30 日 FreeBuf

这里要分享的是一个关于Facebook商务管理平台网站(https://www.facebook.com/business/)的漏洞,攻击者通过构造特定的POST请求消息,可以向特定商家的后台管理员账户组中,添加任意具备管理员权限的账户,进而实现对Facebook商家后台和相关应用的管理控制。

Facebook Business介绍

Facebook商务管理平台(Facebook Business)是一个免费的 Facebook 平台,旨在帮助广告主集成业务的全部 Facebook 营销活动和外部合作伙伴。商家将能够投放和追踪广告,管理主页和广告帐户等资产,并添加经销商或营销合作伙伴,帮助管理业务。

Facebook Business是一个面向所有人的平台。各种规模的商家均可使用商务管理平台集中管理所有业务资产和信息,从而有条不紊地开展业务。借助商务管理平台等中央商务中心,商家可以全面掌控 Facebook 资产,安全地管理用户访问权限,向合适的用户授予适当额度的权限。Facebook商务管理平台中的商家管理员账户(admin),可管理商家平台和主页中的所有设置、用户和权限。

漏洞原因及测试

在Facebook Business商家主页的管理设置中,存在着一个向商家后台添加管理员账户的调用请求,该请求没有任何权限限制,攻击者可以向任意商家后台添加一个具备管理员权限的用户。大致的POC代码如下:

HTTP POST

/business/aymc_assets/admins/import/

Host: facebook.com

business_id=TARGET_BUSINESS_ID

admin_id=MALICIOUS_USER_ID

session_id=SESSION_ID

其中,business_id代表了目标商家的ID号,admin_id代表了想要添加进入的用户ID号,这两个编号都可以通过抓包形式了解到具体的构造格式。

PoC视频:

漏洞影响

利用该漏洞,攻击者可以在不具备任何身份角色的情况下,向任意商家后台添加一个具备管理员权限的用户,以此获得对商家Facebook业务相关的后台管理、商务主页、广告账户、应用程序和Instagram账户的管理控制权限。

漏洞上报进程

2018.10.9 向Facebook安全团队上报漏洞

2018.10.9 Facebook进一步分析验证

2018.10.10 Facebook把相关存在漏洞的服务端移除

2018.10.15 Facebook再次审计确认

2018.10.15 Facebook修复漏洞

2018.10.17 Facebook向我发放 $27,500 美金的赏金

*参考来源:philip,clouds编译,转载请注明来自FreeBuf.COM

登录查看更多
0

相关内容

Facebook 是一个社交网络服务网站,于 2004 年 2 月 4 日上线。从 2006 年 9 月到 2007 年 9 月间,该网站在全美网站中的排名由第 60 名上升至第 7 名。同时 Facebook 是美国排名第一的照片分享站点。 2012年 2 月 1 日,Facebook向美国证券交易委员会提交集资规模为 50 亿美元的上市申请。
AI创新者:破解项目绩效的密码
专知会员服务
33+阅读 · 2020年6月21日
【SIGMOD2020-腾讯】Web规模本体可扩展构建
专知会员服务
29+阅读 · 2020年4月12日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
 【中科院信工所】社交媒体情感分析,40页ppt
专知会员服务
100+阅读 · 2019年12月13日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
95+阅读 · 2019年12月4日
【电子书】Flutter实战305页PDF免费下载
专知会员服务
22+阅读 · 2019年11月7日
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
已删除
架构文摘
3+阅读 · 2019年4月17日
支持多标签页的Windows终端:Fluent 终端
Python程序员
7+阅读 · 2019年4月15日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
AliCoCo: Alibaba E-commerce Cognitive Concept Net
Arxiv
13+阅读 · 2020年3月30日
dynnode2vec: Scalable Dynamic Network Embedding
Arxiv
14+阅读 · 2018年12月6日
Arxiv
7+阅读 · 2018年1月18日
VIP会员
相关资讯
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
已删除
架构文摘
3+阅读 · 2019年4月17日
支持多标签页的Windows终端:Fluent 终端
Python程序员
7+阅读 · 2019年4月15日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
Top
微信扫码咨询专知VIP会员