1. 黑客安全网-互联网安全媒体信息综合平台首页
  2. 分类阅读

利用系列视频创建功能删除任意Facebook平台图片($10,000)

近期,作者注意到了Facebook的创作工作室(Facebook Creator Studio)中添加了系列视频创建功能(Series Feature),出于对漏洞测试的敏感性,作者及时对该功能进行了测试,最终发现该功能中存在任意Facebook图片删除漏洞,漏洞获得了Facebook官方$10,000的奖励。

漏洞发现过程

Facebook的创作工作室(Facebook Creator Studio)汇集了用户所需的各种工具,让用户能够跨所有 Facebook 主页和 Instagram 帐户发布内容、实现变现、衡量表现并与粉丝互动。系列视频创建是在 Facebook 内容分享中比较吸引人的方式,用户可以从个人上传内容中通过视频组合形成专辑影片,发布后供朋友圈和其他用户观看。

如下系列视频创建过程:

在创建系列视频的过程中,要求上传图片作为其宣传海报(”Poster Art”)和影片封面(”Cover Image” ),如下:

在上传图片的请求中,我发现其中包含了图片的id号(fbid),意思是只要是Facebook平台中任何具备id号(fbid)的图片都能把它填写于此作为封面图片,如下选择其他用户账户下的任一fbid图片(2467651590213206)作为封面:

图片上传请求中原来的图片id(2903739103044967):

替换为新的图片id(2467651590213206)作为封面:

替换成功后,我再选择删除该系列视频集的操作,如下:

删除成功:

此时,原来作为封面的其他用户账户下的图片(2467651590213206)也即被删除,不可访问:

及时上报给Facebook后,Facebook安全团队及时给出了反馈:

漏洞上报和处理进程

2020.5.2 09:10 – 漏洞初报

2020.5.2 10:39 – 漏洞分类

2020.5.2 22:46 – 漏洞修复

2020.6.2 – $10,000赏金发放

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/2491.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注