可以链接两个漏洞以导致服务器端请求伪造
一名安全研究人员获得了55,000美元的授予错误赏金他们在未命名的第三方申请中链接了一对漏洞以实现服务器端请求伪造(SSRF)并妥协Facebook的内部网络。
Alaa Abdulridha证明了如何操纵应用程序使用的身份验证cookie,以妥协属于属于的帐户Facebook员工,在利用应用程序的表单构建功能中的缺陷之前,请访问Intern.our.facebook.com。
几天前,他还发现了一个“无抵押的API,允许[他]更改任何管理员帐户的密码,而无需用户互动”,再次可能导致收购Facebook员工注册的帐户,如两个博客文章中的第一记录发现。
阿卜杜勒达告诉每日swbeplay2018官网ig他认为所有三个漏洞都具有低复杂性,但影响很大。
这些发现为他赢得了总计54,800美元的Bug Bounty支出,仅SSRF连锁店 - 记录在第二秒中博客文章- 给他$ 47,000。
Facebook的安全团队在授予网络安全工程师这位保险杠赏金时承认SSRF漏洞“本来可以允许高度复杂的攻击者在我们的网络中执行HTTP请求并阅读我们的响应”。
更改密码
Abdulridha针对相同的子域 - https://legal.tapprd.thefacebook.com - 带有2019年RCE利用这为另一位研究人员赚了1,000美元。
在找到了绕过重定向到单个登录页(SSO)页面的方法之后,“忘记密码”端点上的模糊端口暴露了“保存密码”端点,该端点是“期望邮政请求”。
他手动改变的努力跨站点伪造((CSRF)javascript文件中的令牌失败,因为他怀疑一封电子邮件可能不正确。
然后,他使用Burp Intruder尝试了一系列电子邮件排列列表,以登录管理员密码并生成“相同的错误结果以及其他结果” - 302重定向到登录页面。
你可能也会喜欢Github奖励虫赏金猎人25,000美元用于秘密盗窃报告
成功的电子邮件和密码组合使他可以访问管理员帐户。
研究人员通过编写“快速简单”的python脚本来加强他的发现,如果将电子邮件和新密码包含在内,请更改密码。
Aspxauth cookie
该应用程序还使用了Aspxauth cookie,他怀疑这可能容易受到他以前在其他错误赏金程序上成功使用的操作的影响,因为大多数使用身份验证cookie的应用程序仅包含电子邮件或用户名和加密密钥中的到期时间。
之后谷歌搜索发现了另一个使用该应用程序和相同加密密钥的网站beplay体育能用吗,研究人员成功地在Facebook Admin用户名中注册,“截获了请求并将Aspxauth拿走,并用Facebook过期的Aspxauth取代了请求”。
因此,Facebook员工使用的帐户可能会受到损害,证明他可以“仅通过了解用户名来使用任何管理员帐户登录”。
Facebook Bug Bounty团队为这两个漏洞授予了55,000美元
Abdulridha建议使用ASP.NET的开发人员应确保将Aspxauth Cookies存储在数据库中,经应用程序验证,并包含更多的用户名以进行进一步验证。加密并将解密密钥从其默认设置更改。
煤矿中的金丝雀令牌
The researcher suspected that a critical SSRF was likely present in the application’s form-designing feature, which had “an option to call an external API called ‘API Trigger’, for example to call graph.facebook.com by using the access token of your Facebook account”.
通过浏览Facebook的金丝雀令牌,他验证了SSRF以及任意命令执行的威胁和对Facebook内部网络中“可以与之通信”的Facebook内部网络中“在脆弱应用程序本身或其他后端系统中”的数据的威胁。
他补充说,这也可能“导致恶意攻击似乎源于组织易受伤害应用程序的组织,从而导致潜在的法律责任和声誉损失。”
Abdulridha报告了2020年8月28日的第一个漏洞,并于10月2日修复。其他两个缺陷的报告于9月9日提交,该虫子对在10月26日被部分缓解,并于2021年2月25日完全固定。
Facebook告诉研究人员,它没有发现虐待的证据。
要求进一步评论每日swbeplay2018官网ig,阿卜杜勒达(Abdulridha)只是敦促:“世界各地的虫子猎人 - 永不放弃目标。”
