挖洞经验 | 一个奇怪的Facebook高危漏洞

作者在测试Facebook某子域名网站时，发现正常访问该网站的某些目录时，服务端总会延迟响应返回403状态，之后，作者通过发送大量请求，以这种间接的“竞争条件”方式，迫使Facebook服务端响应了完整的可访问目录列表。一起来看看。

漏洞发现

在做Facebook的子域名发现时，其中一个子域名网站引起了我的注意：https://legal.tapprd.thefacebook.com/，因为我想这种带“legal needs”（法律需求）字眼的网站好像都会包含重要或公司内部的数据内容。

之后，我在谷歌进行了搜索，发现该网站的以下可访问路径：
https://legal.tapprd.thefacebook.com/tapprd/auth/identity/logout

这就是一条线索！

接下来我尝试了目录探测，发现在对一些特定目录访问时，该网站总会延迟几秒响应出以下错误提示：“403 Forbidden : Access is Denied.”

不同凡想

基于上述目标网站的响应，我想如果我构造200个不带payload的http请求，发向https://legal.tapprd.thefacebook.com/tapprd/，看看其服务端会是什么反应？

这里我用到了Burp的Intruder模块，做出以下配置：

请求发起后大约半小时，其服务端的响应结果着实惊到我了。这些针对/tapprd/目录的请求，有些竟然绕过了服务端的403权限限制，让服务端响应出了一个完整的可访问目录列表！

经过研究我发现：如果对https://legal.tapprd.thefacebook.com/网站特定目录发起同时的大量请求，会导致其泄露出一些相关内容。

为此，我再用Burp的Intruder模块对目录https://legal.tapprd.thefacebook.com/tapprd/发起了大量请求，同时，我又用Firefox访问了https://legal.tapprd.thefacebook.com/tapprd/，竟然再也没有出现上述服务端响应的403权限限制了，展示在我面前的即是/tapprd/的完全目录信息，这个场景简直比欣赏日落美景还让人心旷神怡：

通过该目录列表路径，我发现了其中一个上传目录，它里面包含了很多有意思的XLSX文件：

我尝试着打开了其中的一些文件，发现这竟然是Facebook公司法律团队的内部文件，里面包含了其内部的一些机密商务和个人信息，那就浅尝辄止吧。之后，我录了一个简单的POC视频报送给了Facebook安全团队。