Независимый индийский исследователь Арун С. Кумар (Arun S. Kumar) удостоился крупного вознаграждения по bug bounty программе Facebook. Кумар обнаружил проблему в приложении Facebook Business Manager, бесплатном инструменте, который предназначен для управления рекламой, страницами, приложениями и позволяет настроить доступ к Facebook Pages сразу для нескольких пользователей.

Когда пользователь добавляет в Business Manager нового партнера, он должен указать его ID и роль. По словам исследователя, проблема заключается в том, что запросы, которые передаются в ходе этой процедуры, содержат ряд параметров, которыми легко манипулировать через IDOR-уязвимость (insecure direct object reference).

Атакующий, который знает о данной проблеме, может сгенерировать запрос к серверу Facebook, используя тестовый аккаунт, перехватить его, а затем найти и подменить нужные параметры. Так, злоумышленник может изменить параметр страницы Facebook, параметр пользователя Facebook, а также назначить себе любую роль, например, присвоив себе должность редактора любой страницы. Исследователь отмечает, что атака сработает против любых страниц, в том числе принадлежащих высокопоставленным и известным людям, к примеру, Бараку Обаме или Биллу Гейсту.

Кумар также опубликовал в своем блоге proof-of-concept видео с демонстрацией атаки.

Исследователь пишет, что поставил компанию в известность об уязвимости 29 августа 2016 года, и баг был успешно устранен 6 сентября 2016 года. В итоге исследователю выплатили вознаграждение в размере $16 000. Представители социальной сети пояснили, что такая значительная сумма обусловлена тем, что в ходе исправления найденного Кумаром бага, они обнаружили и устранили еще одну опасную уязвимость.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии