下一级帐户收购
安全研究员披露了Facebook画布中的第二次错误,就像他们的前任一样,构成了账户收购风险。
安全研究员Youssef Sammouda赢得了126,000美元BUG啤酒去年在Facebook的Canvas技术中发现一组三个缺陷,用于嵌入在线游戏和其平台中的互动应用程序。
Sammouda详细说明了这些问题技术博客文章,去年9月发布。
帆布重新审视
安全研究员最近决定重新审视该问题,从而导致Facebook中发现一系列新的问题OAuth实施。
Sammouda告诉每日SWbeplay2018官网IG.:“Meta未能确保游戏网站只能请求的客户端或服务器端应用程序中beplay体育能用吗Access_Token.对于其应用而不是Instagram等第一方应用程序。“
受到推崇的青少年黑客队员为Facebook漏洞的4500美元Bug Budy允许攻击者向揭露页面管理员
研究人员继续说:“它还未能确保生成的Facebook APIAccess_Token.只能到达Facebook第一方应用程序添加的域/网站。“beplay体育能用吗
尚未解决,这些问题将允许攻击者网站能够窃取一方beplay体育能用吗Access_Token.并接管Facebook帐户和链接到它的任何其他帐户,例如Oculus或Instagram。
部分修复
Facebook的初步尝试解决去年问题的问题是缺乏的。更具体地说,Sammouda发现了三个新的漏洞:竞争条件问题,绕过先前的修复,以及涉及加密参数的问题。
幸运的是,为了回应Sammouda的批评,Facebook已经收紧了它的控制并发布了更全面的修复。
Sammouda解释说:“这是通过META解决的,通过确保在游戏网站的OAuth Endpoint请求中传递的参数是白名单,并且始终强制执行价值beplay体育能用吗app_id.和client_id.参数传递给始终是提出请求的游戏应用程序ID。“
跟进技术博客文章- 上周Sammouda发布 - 探讨Facebook初步尝试解决问题的缺陷。Sammouda的后续工作赢得了98,000美元的发薪日。
“最后,元决定应用明显的修复并限制我们对OAuth请求的控制。添加了允许参数的白名单,当然,应用程序将滤除任何其他参数app_id.和client_id.始终设置为当前app_id.,“萨米德结束了。
每日SWbeplay2018官网IG.邀请Facebook/ meta评论Sammouda的最新调查结果。没有任何词,但我们会更新这个故事,而且在掌握更多信息时。
