close
近期,伊朗安全專傢Pouya Darabi發現,Facebook新推出的某項投票詢問功能存在漏洞,可以利用該功能,刪除其他任何人上傳分享至Facebook中的圖片。漏洞非常簡單,但卻影響甚大,最終Pouya Darabi上報這個漏洞後,獲得瞭Facebook方面$10000美金的獎勵。
漏洞細節
Facebook於11月初推出瞭這項新的投票詢問功能,當用戶在詢問朋友和網友意見時,可以配上圖片甚至GIF動畫,該功能對於那些有選擇困難癥的人來說可能非常有用,如正為吃什麼、買什麼而煩惱時,可以馬上拍張照片或分享GIF詢問其他人原木餐桌客製化|原木餐桌客製化推薦。整個漏洞過程大概是這樣的:
當用戶創建一項包含圖片的投票詢問分享後,會向Facebook發送一個GIF鏈接或圖片編號的請求,也就是poll_question_data[options][][associated_image_id] ,其中末尾包含瞭上傳圖片的id:
但假如將末尾id值改為Facebook上其他人發佈的圖片id後,分享出來的投票詢問發貼中就會包含該張圖片:
此時,如果當前用戶刪除這項投票詢問發貼,則Facebook上其他人發佈的那張圖片也就會被一並刪除,OMG!
漏洞利用PoC
也就是說,隻要通過瀏覽發現其他人發佈在Facebook上的圖片編號id,利用該漏洞,就可以將之刪除。以下為漏洞利用PoC視頻,視頻中隻是簡單地替換瞭圖片編號id,請仔細觀看:
http://v.youku.com/v_show/id_XMzE5MzEyMjc3Mg==.html
漏洞報送時間線
2017.11.3 03:16 – 報告漏洞
2017.11.3 15:25 – 漏洞分類
2017.11.3 16:46 – 前期修復
2017.11.5 15:03 – 成功修復
2017.11.8 Facebook向我獎勵 $10,000
*參考來源:darabi,freebuf小編clouds編譯,轉載請註明來自FreeBuf.COM
看著他們這麼高調,老夫默默的卸載瞭微信的App。。。。讓你們在老子面前炫耀。
diguoyongshi評論瞭史上最壕年會!微信送每人一臺高配定制版iPhone...
期待能把年終獎給發瞭
_無慮無憂評論瞭史上最壕年會!微信送每人一臺高配定制版iPhone...
6666前來點贊
a12869318評論瞭iOS 內購最新講解
編輯怕是活在夢裡實木餐桌工廠|實木餐桌訂製工廠
CodMonkey評論瞭iPhone V:蘋果首代翻蓋機來瞭...
年終獎?不存在的!
豆瓣鯽魚醬評論瞭2017白領年終獎調查出爐 程序員竟然隻有8801...
mark
q858333評論瞭iOS 註釋方法大全 代碼塊加快捷鍵註釋
第四題兩個輸出都為NO呀
doublejj評論瞭iOS面試題----實踐向柚木實木餐桌|柚木實木餐桌推薦
最不好用的版本!
258806121評論瞭iOS 12重要功能曝光:蘋果將體驗放在第一位!
求最後一個表情豬的出處
俠客不帶刀評論瞭那些讓程序員們哭笑不得的病毒
我已經幹瞭四年瞭,才10,是不是不適合幹開發瞭?
喬蘭伊雪評論瞭程序員如何做到兩年待遇 20K+?
- 實木桌板宜蘭|實木桌板工廠宜蘭 尋找原木桌板工廠|原木桌板工廠推薦廠商~@E@
- 三義原木桌板|三義原木桌板工廠 原木桌板台北|實木桌板台北該哪裡找呢?網路大搜查@E@
- 原木桌板工廠|原木桌板工廠推薦 台北原木餐桌|台北原木餐桌工廠推薦~工廠直營@E@
文章標籤
全站熱搜
留言列表
