IDOR漏洞接管Facebook页面，获1万6千美金奖励「建议收藏」

大家好，又见面了，我是你们的朋友全栈君。印度小哥的自拍有点曝光过度了啊  
Facebook能给出这么高的奖励，好棒啊

发现Facebook零日漏洞，获得10万7千元人民币奖励

安全研究人员发现Facebook存在零日漏洞！可以接管Facebook的任何页面。

Facebook几乎是中小企业推广自家产品的最高效又低成本的平台。合理借用Facebook的关键在于装帧好某项产品或服务的Facebook页面，品牌、企业、组织和名人都可以在这里大展身手，将产品或服务推送给目标受众的粉丝。任何人都可以创建Facebook页面，并以趣味性吸引到意趣相投的潜在客户。关注者会收到内容提要的自动更新。

该安全漏洞于2016年8月29日报告给Facebook。Arun运。Facebook安全团队表示，该0day漏洞非常关键，在研究他的报告时，Facebook发现并修复了另一个漏洞。Arun很幸运，这使得他获得的总漏洞奖励远高于对常见支付页面漏洞的奖励。2016年9月16日，Arun获得了1万6千美元（约合10万7千元人民币）的漏洞奖励。

漏洞原理——IDOR接管任意页面

安全研究员Arun Sureshkumar（图片来自Facebook）

一名来自印度的安全研究员，Arun Sureshkumar，发现了facebook处理其业务请求中的0day漏洞，Arun的博客写道，这漏洞使他甚至能操纵像奥巴马总统、莫迪总理等任何人的Facebook主页。

Arun发现他可以以业务经理0day玩弄Facebook，使用不安全的直接对象引用，访问任意Facebook网页。

以下为Arun的相关视频地址：

https://www.youtube.com/watch?time_continue=131&v=BSnksWX5Kn0

问题都是围绕着不安全的直接对象引用，也被称IDOR。它是指当引用到一个内部实现对象，如一个文件或数据库键，引用对象将被暴露给没有任何其他访问控制的用户。如此一来，攻击者可以操纵这些引用来获取未经授权的数据。在Facebook案例中，Facebook业务经理（Facebook Business Manager）在10秒内就可能接管任意Facebook页面 Facebook业务经理让企业更安全地共享和控制访问到他们的广告和主页。一家企业的任何员工能在同一地点看到他们做出的页面和广告，无需共享登录信息或关联到他们同事的Facebook账户。Arun还写道，攻击者可以对接管的页面做仍和破坏，包括删除页面。

Arun的发现：

Arun开通了两个Facebook商业账户，一个是他自己的身份，另一个用来测试。然后他用自己的ID加了一个好友，并使用Burp Suite拦截了此加好友要求。之后，他用代理ID改变了业务ID，用页面ID改变了资产ID。他想破解，一旦完成了ID改变，这名研究人员被要求成为页面的管理者角色。几秒内，Arun在目标网页有管理员权限，因而他可以通过业务经理在平台上执行任何动作。

本文由漏洞银行（BUGBANK.cn)小编  Feya 编译，源文译自 hackread.com。