IDOR漏洞接管Facebook页面,获1万6千美金奖励

最新推荐文章于 2025-08-12 18:31:39 发布
转载 最新推荐文章于 2025-08-12 18:31:39 发布 · 2.9k 阅读 · 0

安全研究员ArunSureshkumar发现Facebook存在零日漏洞,利用不安全的直接对象引用(IDOR),可接管任意Facebook页面。该漏洞于2016年8月29日报告给Facebook,Arun因此获得了1万6千美元的奖励。
印度小哥的自拍有点曝光过度了啊   微笑Facebook能给出这么高的奖励,好棒啊

IDOR漏洞接管Facebook页面,获1万6千美金奖励


发现Facebook零日漏洞,获得10万7千元人民币奖励

安全研究人员发现Facebook存在零日漏洞!可以接管Facebook的任何页面。

Facebook几乎是中小企业推广自家产品的最高效又低成本的平台。合理借用Facebook的关键在于装帧好某项产品或服务的Facebook页面,品牌、企业、组织和名人都可以在这里大展身手,将产品或服务推送给目标受众的粉丝。任何人都可以创建Facebook页面,并以趣味性吸引到意趣相投的潜在客户。关注者会收到内容提要的自动更新。

该安全漏洞于2016年8月29日报告给Facebook。Arun运。Facebook安全团队表示,该0day漏洞非常关键,在研究他的报告时,Facebook发现并修复了另一个漏洞。Arun很幸运,这使得他获得的总漏洞奖励远高于对常见支付页面漏洞的奖励。2016年9月16日,Arun获得了1万6千美元(约合10万7千元人民币)的漏洞奖励。


漏洞原理——IDOR接管任意页面


IDOR漏洞接管Facebook页面,获1万6千美金奖励

安全研究员Arun Sureshkumar(图片来自Facebook)


一名来自印度的安全研究员,Arun Sureshkumar,发现了facebook处理其业务请求中的0day漏洞,Arun的博客写道,这漏洞使他甚至能操纵像奥巴马总统、莫迪总理等任何人的Facebook主页。

Arun发现他可以以业务经理0day玩弄Facebook,使用不安全的直接对象引用,访问任意Facebook网页。

以下为Arun的相关视频地址:

https://www.youtube.com/watch?time_continue=131&v=BSnksWX5Kn0

问题都是围绕着不安全的直接对象引用,也被称IDOR。它是指当引用到一个内部实现对象,如一个文件或数据库键,引用对象将被暴露给没有任何其他访问控制的用户。如此一来,攻击者可以操纵这些引用来获取未经授权的数据。在Facebook案例中,Facebook业务经理(Facebook Business Manager)在10秒内就可能接管任意Facebook页面 Facebook业务经理让企业更安全地共享和控制访问到他们的广告和主页。一家企业的任何员工能在同一地点看到他们做出的页面和广告,无需共享登录信息或关联到他们同事的Facebook账户。Arun还写道,攻击者可以对接管的页面做仍和破坏,包括删除页面。

Arun的发现:


IDOR漏洞接管Facebook页面,获1万6千美金奖励


Arun开通了两个Facebook商业账户,一个是他自己的身份,另一个用来测试。然后他用自己的ID加了一个好友,并使用Burp Suite拦截了此加好友要求。之后,他用代理ID改变了业务ID,用页面ID改变了资产ID。他想破解,一旦完成了ID改变,这名研究人员被要求成为页面的管理者角色。几秒内,Arun在目标网页有管理员权限,因而他可以通过业务经理在平台上执行任何动作。

 



 

文由漏洞银行(BUGBANK.cn)小编  Feya 编译,源文译自 hackread.com。



SAKAISON
关注
IDOR检测工具推荐:Java版开源API越权漏洞检测系统
FcRuby的博客
09-21 446
为了帮助开发者及时发现和修复IDOR漏洞,我们推荐一款基于Java的开源API越权漏洞检测系统。通过使用开源API越权漏洞检测系统,开发者可以自动化地发现和检测应用程序中的IDOR漏洞。该系统具有灵活的定制能力和丰富的测试功能,可以帮助开发者及时发现和修复潜在的安全风险,提高应用程序的安全性。这个开源API越权漏洞检测系统旨在帮助开发者自动化地发现和检测应用程序中的IDOR漏洞。以下是一个简单的Java代码示例,用于演示如何使用该API越权漏洞检测系统来测试一个API资源是否存在IDOR漏洞
IDOR漏洞
tomyyyyy
02-27 1274
IDOR漏洞 一、概述 IDOR,Insecure Direct Object reference,即"不安全的直接对象引用",场景为基于用户提供的输入对象进行访问时,未进行权限验证,是一类访问控制漏洞。在OWASP API安全前10名的API漏洞中排名第一。IDOR漏洞其实在越权(Broken Access Control)漏洞的范畴之内,也可以说是逻辑漏洞,或是访问控制漏洞,国内通常被称为越...
漏洞挖掘丨客户支持聊天系统中的IDOR漏洞
weixin_43006749的博客
08-29 518
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 2019-04-17_165229.jpg大家好,今天分享的writeup是一个关于客户支持系统(Customer Support)的IDOR漏洞(不安全的直接对象引用),该漏洞可以导致目标系统的访问控制功能失效,实现客户支持平台内的任意消息读取和发送,还能下载任意用户的相关文件。...
SRC挖掘---web不安全的直接对象引用 (IDOR)漏洞-3day
qq_62278422的博客
04-24 1576
什么是 IDOR? 当应用程序根据用户提供的输入提供对对象的直接访问时,就会发生不安全的直接对象引用 (IDOR)。由于此漏洞,攻击者可以绕过授权并直接访问系统中的资源,例如数据库记录或文件。不安全的直接对象引用允许攻击者通过修改用于直接指向对象的参数值来绕过授权并直接访问资源。这些资源可以是属于其他用户的数据库条目、系统中的文件等等。这是因为应用程序接受用户提供的输入并使用它来检索对象而没有执行足够的授权检查。(来源:OWASP) 让我们看一个例子。想象一下,您正在使用一个文档共享平台。您可以上传..
【Web安全】浅谈IDOR越权漏洞的原理、危害和防范:直接对象引用导致的越权行为
HEX9CF的技术博客
11-19 2831
IDOR的原理是攻击者通过修改对象的标识符,绕过权限验证,访问到不应该被其所见的资源。不仅要验证和过滤表单中的数据,还要对所有与对象引用相关的输入参数进行校验,包括URL中的参数、请求头中的参数等。不安全的直接对象引用(Insecure Direct Object Reference,简称IDOR)是一种安全漏洞,指在系统中直接暴露敏感对象的引用,使攻击者可以通过修改对象引用来越权访问未经授权的资源。通过使用间接引用,可以隐藏真实的对象引用,只暴露一个代理或中间层的引用,以增加攻击的难度。
典型漏洞 | IDOR
最新发布
童龙辉的博客
08-12 386
IDOR漏洞(不安全的直接对象引用)是高危信息泄露漏洞,攻击者通过修改URL中的ID参数(如/api/car/info/1递增为2、3)可遍历未授权数据,违反《个人信息保护法》。修复建议:1)接口增加用户权限校验;2)使用UUID替代自增ID;3)实施JWT/OAuth鉴权;4)配置限流和日志监控防止批量遍历。典型修复方案是在查询时验证当前用户与数据归属是否匹配,否则抛出权限异常。
Oxeye在Harbour中发现了几个高危 IDOR 漏洞
kafankeji的博客
09-13 353
VMware Project Harbor的产品线经理Roger Klorese说:“我们和我们的社区开发的开源软件以及我们和我们的合作伙伴分发的商业发行版的质量对我们和使用它的组织来说至关重要。Oxeye 在关于新漏洞的咨询中解释道:“管理对运营和资源的访问可能是一个具有挑战性的目标。Oxeye咨询说:“您的应用程序公开的每个新API端点都应使用可用的最严格的角色。例如,如果应用程序公开了一个重置用户密码的端点,则模拟如果用户从不同用户的上下文调用此API端点会发生什么。
Facebook被曝严重安全漏洞
moyulu0的博客
10-08 298
来源区视网分享《爱链每日说》栏目 据美国CNN报道,当地时间周六埃隆·马斯克同意辞去特斯拉董事长一职,并支付2000美元的罚款,以了结美国证券交易委员会,27日提出涉嫌证券欺诈的罪名指控。另外,特斯拉公司也将支付2000美元,以了解其未能充分监督马斯克推文的指控。 针对百度已成立,专门负责区块链业务的新公司这一传言,百度官方作出回应,称其再近期媒体报道的度链公司之外,没有成立独立公司运用区...
tryhackme圣诞挑战2021-Advent of Cyber 3-day1-IDOR漏洞,不安全的访问控制漏洞
qq_43200143的博客
12-02 2774
文章目录第一天IDOR漏洞是什么?通常出现的地方查询get请求post的表单的值cookies挑战初探挑战的问题 第一天 货物系统出现了问题,让我们想办法进行修复! IDOR漏洞是什么? Insecure Direct Object Reference,不安全的直接对象引用,是一种权限控制类漏洞,类似于越权漏洞吧,就是用户访问到了自己不应该访问的信息,比如我只能查看我自己的资料,但我可以通过修改一些参数访问其他人的资料。 通常出现的地方 查询get请求 post的表单的值 这里用户的id被隐藏了,如果修
记一次IDOR 和访问控制缺失漏洞挖掘
2401_89294392的博客
01-23 899
我尝试通过更改帖子 ID 来修改请求,试图将其他用户的报告发送到我的邮箱。起初,我并没有计划测试这个导出功能,但出于好奇,我点击了下载 PDF 的按钮。3、我会为每个测试的应用程序创建一个 Obsidian 文件,在其中存储重要信息,比如两个测试账户的 ID,以及应用使用的任何。通过这样做,我可以未经授权访问其他用户的 PDF 报告,暴露了他们的私人帖子信息,我能够看到应用程序中的所有帖子。简而言之,该应用未能实施适当的安全机制来防止未经授权的访问,使这两个漏洞都变得非常危险。(而不是我所有的帖子)。
越权漏洞(IDOR)测试技巧
qq_45244158的博客
03-01 8762
文章目录一、IDOR介绍二、常见的测试技巧1.改变HTTP请求方法2.路径穿越绕过3.改变Content-type(内容类型)4.用数字ID替换非数字5.大小写替换绕过6.用通配符替换ID7.给Web应用提供一个请求ID,哪怕它没作要求8.HTTP参数污染,为同一参数提供多个值。9.更改文件类型。添加不同的文件扩展名(例如.json, .xml, .config)10.JSON参数污染11.在请求体用数组包装参数值12.尝试不同版本的API三、总结 一、IDOR介绍 IDOR,Insecure Dire.
记录一些问题(http状态码,IDOR漏洞,API接口,http请求方式)
m0_56214376的博客
03-20 731
在以前学习渗透的过程中遇到好多的小问题,弄得人不舒服,现在记录一下,算是加固一下, 首先是一个服务器返回请求HTTP状态码的值, 常遇到的200,400,404,401,403,500等等,(服务器常见一共14中状态码) 2**开头的成功状态码,请求处理完成,常见的200,204,206的区别, 200请求成功,并返回了实体报文, 204页成功了,但是没有实体报文(也就是你浏览器空白的没有东西)205页和这个差不多, 206的区别是他请求成功也给你返回了实体报文,但他这个给你返回的是你G
什么是IDOR(不安全的直接对象引用)
weixin_43006749的博客
08-29 9280
自从2010年开始,不安全的直接对象引用(IDOR)就已经成为了OWASP Top 10 Web应用安全风险中影响程度排名第四的安全漏洞了。 IDOR将允许一名授权用户取其他用户的信息,意指一个已经授权的用户通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。Web应用往往在生成Web页面或服务时会用它的真实名字,且并不会对所有目标对象的请求访问进行用户权限检测,所以这就造成了不安...
IDORs:它们是什么,你如何测试它们?
qq_62278422的博客
06-09 917
IDOR:不安全的直接对象引用照片由Muhannad Ajjan在Unsplash上拍摄这些类型的漏洞源于访问控制问题。我们将用另一整章来讨论这些类型的漏洞IDOR 一词因出现在 OWASP 前 10 名中而广受欢迎,但实际上它只是另一种类型的访问控制问题。IDOR 可以在水平和垂直权限提升中表现出来。要说IDOR,必须满足以下条件:这些术语可能看起来很抽象,所以让我们看一个例子:{personId:23,name:”tester”}在这些示例中,我们可以看到发出的 POST 和 GET 请求都包含一个标
漏洞】'or'='or'经典漏洞代码分析
九琼的博客
05-27 1952
经典’or’=‘or’漏洞也叫身份验证登陆漏洞,这是一个比较老的漏洞,不过目前很多系统还是存在这样的漏洞,利用’or’='or’这个漏洞我们就可以顺利的登陆网站后台。这里必须提到AND和OR运算符的运算规则,如果在一个关系式里,同时了AND和OR运算符,就会有一个优先级的问题,如果是相同的逻辑符,则按照从左到右的运算顺序。逻辑运算符AND和OR的运算优先次序是:先运算AND运算符在运算OR运算符。...
Redis 4.x/5.x IDOR漏洞复现
qq_43571759的博客
05-27 456
Redis 4.x/5.x 未授权访问漏洞 Redis未授权访问在4.x/5.0.5以前版本下,我们可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。 漏洞复现 最近碰到ctf的题目是通过ssrf和redis的未授权访问打入内网getshell,想着用docker复现以下此漏洞。 拉取环境开启环境后,如图 使用redis-cli -h your-ipj即可连接redis数据库,并且可以清空所有数据,即有未授权访问漏洞 使用poc实现远程命令执行 先将下载好的poc目录下
DVWA idor
03-29
### 关于DVWA中的IDOR漏洞 在DVWA(Damn Vulnerable Web Application)中,IDOR(Insecure Direct Object References,不安全的直接对象引用)是一种常见的Web应用程序漏洞。这种漏洞允许攻击者通过修改URL参数或其他请求数据来访问未经授权的数据。 #### IDOR漏洞的基础概念 IDOR漏洞通常发生在开发者假设某些资源只能由授权用户访问而未实施适当验证的情况下。例如,在一个在线购物网站上,订单详情页面可能只依赖于订单编号作为查询条件,而不检查当前用户的权限。如果攻击者能够猜测其他有效的订单编号并成功取这些订单的信息,则表明存在IDOR漏洞[^1]。 #### DVWA中的IDOR实现方式 在DVWA环境中配置好之后,可以通过调整不同难度级别来进行练习。对于初学者来说,“Low”级别的设置最为简单明了。在这个层次下,应用不会执行任何额外的身份验证措施去确认发出请求的人是否有权查看特定条目。这意味着只要知道目标项目的唯一标识符就可以轻易读取其内容。 下面是一个简单的例子展示如何利用此缺陷: ```php // 假设这是服务器端处理显示某篇文章逻辑的一部分代码片段 <?php $id = $_GET['id']; $query = "SELECT * FROM articles WHERE id=$id"; $result = mysqli_query($conn, $query); while ($row = mysqli_fetch_assoc($result)) { echo "<h1>" . htmlspecialchars($row["title"]) . "</h1>"; echo "<p>" . htmlspecialchars($row["content"]) . "</p>"; } ?> ``` 上述PHP脚本没有加入足够的控制机制以阻止非法访问其它文章的情况发生。当用户输入不同的`?id=`值时,他们可能会看到不属于自己的文档资料[^2]。 #### 测试与防护建议 测试过程中可以尝试改变URL中的变量部分观察返回的结果变化情况;另外也可以借助工具如Burp Suite拦截HTTP流量手动编辑后再发送出去看响应状态码以及具体内容是什么样的形式呈现出来。 为了防止此类问题的发生,开发人员应该始终遵循最小特权原则,并且无论前端还是后端都要进行全面细致的权利校验工作流程设计。确保每次操作前都重新核实发起者的身份及其所拥有的相应许可范围内的动作才是最稳妥的办法之一[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值