挖洞經驗 | Facebook商務平臺商家管理員賬戶新增漏洞( $27,500)
這裡要分享的是一個關於Facebook商務管理平臺網站( ofollow,noindex" target="_blank">https://www.facebook.com/business/ )的漏洞,攻擊者通過構造特定的POST請求訊息,可以向特定商家的後臺管理員賬戶組中,新增任意具備管理員許可權的賬戶,進而實現對Facebook商家後臺和相關應用的管理控制。
Facebook Business介紹
Facebook商務管理平臺(Facebook Business)是一個免費的 Facebook 平臺,旨在幫助廣告主整合業務的全部 Facebook 營銷活動和外部合作伙伴。商家將能夠投放和追蹤廣告,管理主頁和廣告帳戶等資產,並新增經銷商或營銷合作伙伴,幫助管理業務。
Facebook Business是一個面向所有人的平臺。各種規模的商家均可使用商務管理平臺集中管理所有業務資產和資訊,從而有條不紊地開展業務。藉助商務管理平臺等中央商務中心,商家可以全面掌控 Facebook 資產,安全地管理使用者訪問許可權,向合適的使用者授予適當額度的許可權。Facebook商務管理平臺中的商家管理員賬戶(admin),可管理商家平臺和主頁中的所有設定、使用者和許可權。
漏洞原因及測試
在Facebook Business商家主頁的管理設定中,存在著一個向商家後臺新增管理員賬戶的呼叫請求,該請求沒有任何許可權限制,攻擊者可以向任意商家後臺新增一個具備管理員許可權的使用者。大致的POC程式碼如下:
HTTP POST /business/aymc_assets/admins/import/ Host: facebook.com business_id=TARGET_BUSINESS_ID admin_id=MALICIOUS_USER_ID session_id=SESSION_ID
其中,business_id代表了目標商家的ID號,admin_id代表了想要新增進入的使用者ID號,這兩個編號都可以通過抓包形式瞭解到具體的構造格式。
PoC視訊:
漏洞影響
利用該漏洞,攻擊者可以在不具備任何身份角色的情況下,向任意商家後臺新增一個具備管理員許可權的使用者,以此獲得對商家Facebook業務相關的後臺管理、商務主頁、廣告賬戶、應用程式和Instagram賬戶的管理控制權限。
漏洞上報程序
2018.10.9 向Facebook安全團隊上報漏洞 2018.10.9 Facebook進一步分析驗證 2018.10.10 Facebook把相關存在漏洞的服務端移除 2018.10.15 Facebook再次審計確認 2018.10.15 Facebook修復漏洞 2018.10.17 Facebook向我發放 $27,500 美金的賞金
*參考來源: philip ,clouds編譯,轉載請註明來自FreeBuf.COM