研究人员以“易于利用”错误授予了五位数的总和
一位安全研究人员在发掘了A后获得了25,000美元的漏洞赏金dom-基于跨站脚本(XSS)Facebook中的漏洞。
登录的用户将通过访问攻击重定向页面中的关键缺陷而遭受攻击,然后访问,然后单击攻击者控制的网站。beplay体育能用吗
这将触发包含恶意有效载荷的新标签或弹出窗口的打开Access_Token- 递给攻击者控制他们的帐户。
“这很容易,因为我们可以简单地阅读,例如Oauth授权第一方Facebook应用程序的流程。”博客文章记录利用。
Sammouda发现他可以通过Facebook.com发送交叉原始消息邮政到揭幕战窗口。
通过将这个缺陷链接到一个脚本,该脚本是根据消息在消息中收到的数据进行的不安全构造和提交的表格EventListener,Sammouda取得了成就XSS和慷慨的经济奖励。
研究人员在BountyCon2020的黑客竞赛中塑造了漏洞利用,这是Facebook和Google最近举行的一项猎虫狩猎活动。
起源故事
Sammouda推断了这一点邮政由于内部.intern.facebook.com域被设置为Facebook员工的独家使用靶向素。
但是,用.alpha.facebook.com将弱势端点定位为靶向素。
这促使Sammouda寻找包含一个的页面EventListener这仅接受了消息来源中的Facebook.com子域:“一个很大的暗示,消息中收到的数据将用于做一些严肃的事情”。
访问帆布应用时,Sammouda注意到Apps.facebook.com域加载了‘https://www.facebook.com/platform/page_proxy/?version=x’在iframe然后通过邮政(这一发现以前浮出水面严重的错误在Facebook的Oauth框架中)。
“这page_proxy页面包含发送消息的代码Framename通过邮政到任何来源...并设置EventListener正如博客文章中进一步解释的那样,这为XSS铺平了道路。
漏洞解释了
Clicking on the attacker’s domain redirects the victim to http://our.alpha.facebook.com/platform/page_proxy, which opens our.alpha.facebook.com/payments/redirect.php on a new tab, with the javascript therein sending “a邮政Sammouda告诉启动者域每日swbeplay2018官网ig。
“选择us.alpha.facebook.com域,将帮助我们完成攻击的第二阶段以来邮政在我们的.alpha.facebook.com/platform/page_proxy/中只会将消息发送到http://our.alpha.facebook.com。”
内部的脚本page_proxy域“还将仅接受 *.facebook.com域的消息作为原点,为此攻击是成功的。如果它接受任何来源,则使用http://our.alpha.facebook.com/platform/page_proxy/是不需要的beplay体育能用吗邮政。”
研究人员补充说:“从技术上讲,我认为这个错误并不难利用。但是,困难的部分是找到第二部分,”与消息有关EventListener。
修复和时间表
该缺陷于10月10日(赏金康奇2020的第二天也是最后一天)发现。
Facebook切除后,于10月28日发布了修复邮政从付款重定向和配置apptaburl从开始时进行检查https [ /^https:/.test(a.data.params.apptaburl)]]。
萨莫达(Sammouda)的保险杠付款将研究人员Vinoth Kumar在5月赚取的20,000美元黯然失色。基于DOM的XSS'使用Facebook登录’按钮,以及授予Enguerran Gillier的5,000美元,以发现相同类型的缺陷Gmail在2018年。
