近期,作者注意到了Facebook的创作工作室(Facebook Creator Studio)中添加了系列视频创建功能(Series Feature),出于对漏洞测试的敏感性,作者及时对该功能进行了测试,最终发现该功能中存在任意Facebook图片删除漏洞,漏洞获得了Facebook官方$10,000的奖励。
漏洞发现过程
Facebook的创作工作室(Facebook Creator Studio)汇集了用户所需的各种工具,让用户能够跨所有 Facebook 主页和 Instagram 帐户发布内容、实现变现、衡量表现并与粉丝互动。系列视频创建是在 Facebook 内容分享中比较吸引人的方式,用户可以从个人上传内容中通过视频组合形成专辑影片,发布后供朋友圈和其他用户观看。
如下系列视频创建过程:
在创建系列视频的过程中,要求上传图片作为其宣传海报(”Poster Art”)和影片封面(”Cover Image” ),如下:
在上传图片的请求中,我发现其中包含了图片的id号(fbid),意思是只要是Facebook平台中任何具备id号(fbid)的图片都能把它填写于此作为封面图片,如下选择其他用户账户下的任一fbid图片(2467651590213206)作为封面:
图片上传请求中原来的图片id(2903739103044967):
替换为新的图片id(2467651590213206)作为封面:
替换成功后,我再选择删除该系列视频集的操作,如下:
删除成功:
此时,原来作为封面的其他用户账户下的图片(2467651590213206)也即被删除,不可访问:
及时上报给Facebook后,Facebook安全团队及时给出了反馈:
漏洞上报和处理进程
2020.5.2 09:10 – 漏洞初报
2020.5.2 10:39 – 漏洞分类
2020.5.2 22:46 – 漏洞修复
2020.6.2 – $10,000赏金发放
*参考来源:darabi,clouds 编译整理,转载请注明来自 FreeBuf.COM
来源:freebuf.com 2020-06-28 13:00:51 by: clouds
请登录后发表评论
注册