freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

挖洞经验 | 利用系列视频创建功能删除任意Facebook平台图片($10,000)
2020-06-28 13:00:51

近期,作者注意到了Facebook的创作工作室(Facebook Creator Studio)中添加了系列视频创建功能(Series Feature),出于对漏洞测试的敏感性,作者及时对该功能进行了测试,最终发现该功能中存在任意Facebook图片删除漏洞,漏洞获得了Facebook官方$10,000的奖励。

漏洞发现过程

Facebook的创作工作室(Facebook Creator Studio)汇集了用户所需的各种工具,让用户能够跨所有 Facebook 主页和 Instagram 帐户发布内容、实现变现、衡量表现并与粉丝互动。系列视频创建是在 Facebook 内容分享中比较吸引人的方式,用户可以从个人上传内容中通过视频组合形成专辑影片,发布后供朋友圈和其他用户观看。

如下系列视频创建过程:

在创建系列视频的过程中,要求上传图片作为其宣传海报("Poster Art")和影片封面("Cover Image" ),如下:

在上传图片的请求中,我发现其中包含了图片的id号(fbid),意思是只要是Facebook平台中任何具备id号(fbid)的图片都能把它填写于此作为封面图片,如下选择其他用户账户下的任一fbid图片(2467651590213206)作为封面:

图片上传请求中原来的图片id(2903739103044967):

替换为新的图片id(2467651590213206)作为封面:

替换成功后,我再选择删除该系列视频集的操作,如下:

删除成功:

此时,原来作为封面的其他用户账户下的图片(2467651590213206)也即被删除,不可访问:

及时上报给Facebook后,Facebook安全团队及时给出了反馈:

漏洞上报和处理进程

2020.5.2 09:10 – 漏洞初报

2020.5.2 10:39 – 漏洞分类

2020.5.2 22:46 – 漏洞修复

2020.6.2 – $10,000赏金发放

*参考来源:darabi,clouds 编译整理,转载请注明来自 FreeBuf.COM

# facebook # 挖洞经验
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者