Хакер #305. Многошаговые SQL-инъекции
Независимый специалист по безопасности Иосип Франжкович (Josip Franjković) поделился с сообществом самыми простыми хаками, которые принесли ему деньги по программам выплат за нахождение уязвимостей. Действительно, это настолько элементарные вещи, что заработанные деньги кажутся по-настоящему халявными.
Баг со списком френдов
На мобильном веб-сайте m.facebook.com есть вариант просмотра календаря за год, где указано, сколько друзей вы завели, где они чекинились и т. д. Если нажать «Завел хх новых друзей», то вызывается следующий URL:
https://m.facebook.com/username/year/2014/profile_lists/?factoid_type=friends_made
По нему показывается список всех френдов, которых кто-то завел в 2014 году. Если изменить username
, то можно посмотреть список друзей любого другого пользователя, независимо от настроек приватности на обоих аккаунтах. По существу, это баг IDOR.
Баг с совместными фотографиями
Второй баг практически идентичен первому, только здесь мы эксплуатируем функцию, которая показывает, с кем пользователь чаще всего встречается на фотографиях (Most tagged with). Опять же, работает независимо от настроек приватности при изменении имени пользователя в URL.
https://m.facebook.com/username/stories/2015/most_tagged_with/
Иосип Франжкович говорит, что на сайте есть другие «фактоиды» с такими URL, но поверхностная проверка не обнаружила каких-то багов.
Facebook исправил первый и второй баги 30 апреля и 7 мая, соответственно. Хакеру выплачено вознаграждение $5500.