Хакер #305. Многошаговые SQL-инъекции
Независимый индийский исследователь Арун С. Кумар (Arun S. Kumar) удостоился крупного вознаграждения по bug bounty программе Facebook. Кумар обнаружил проблему в приложении Facebook Business Manager, бесплатном инструменте, который предназначен для управления рекламой, страницами, приложениями и позволяет настроить доступ к Facebook Pages сразу для нескольких пользователей.
Когда пользователь добавляет в Business Manager нового партнера, он должен указать его ID и роль. По словам исследователя, проблема заключается в том, что запросы, которые передаются в ходе этой процедуры, содержат ряд параметров, которыми легко манипулировать через IDOR-уязвимость (insecure direct object reference).
Атакующий, который знает о данной проблеме, может сгенерировать запрос к серверу Facebook, используя тестовый аккаунт, перехватить его, а затем найти и подменить нужные параметры. Так, злоумышленник может изменить параметр страницы Facebook, параметр пользователя Facebook, а также назначить себе любую роль, например, присвоив себе должность редактора любой страницы. Исследователь отмечает, что атака сработает против любых страниц, в том числе принадлежащих высокопоставленным и известным людям, к примеру, Бараку Обаме или Биллу Гейсту.
Кумар также опубликовал в своем блоге proof-of-concept видео с демонстрацией атаки.
Исследователь пишет, что поставил компанию в известность об уязвимости 29 августа 2016 года, и баг был успешно устранен 6 сентября 2016 года. В итоге исследователю выплатили вознаграждение в размере $16 000. Представители социальной сети пояснили, что такая значительная сумма обусловлена тем, что в ходе исправления найденного Кумаром бага, они обнаружили и устранили еще одну опасную уязвимость.