Весной текущего года, на ежегодной конференции F8 компания Facebook анонсировала FB5 — новый дизайн для платформы социальных сетей. Еще тогда небольшая группа ИБ-специалистов получила ранний доступ к новому дизайну, и один из них, Филипп Хервуд (Philippe Harewood), сумел обнаружить интересную ошибку.

В своем блоге специалист рассказал, что обнаружил возможность злоупотребления вызовом GraphQL, при помощи которого в новом дизайне можно удалять изображения профилей с фан-страниц Facebook (опираясь на поле profile_id). Как оказалось, просто изменив этот идентификатор на ID обычного пользователя, можно было добиться удаления фото из профиля этого человека.

Так как в настоящее время проблему уже исправили, Хервуд приложил к своему отчету простой PoC-эксплоит для уязвимости.

Представители Facebook уже подтвердили информацию, опубликованную исследователем, а также сообщили, что обнаружив эту уязвимость, Хервуд получил 2500 долларов в рамках программы bug bounty.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии