facebook的页面管理员文件,只有在管理员选择公开后,才会被公开展示。
然而,在某些情况下,你可能想联系该facebook页面的管理员,或知道是谁在负责这个页面。
埃及安全研究员Mohamed A. Baset 发现了facebook中的一个严重的信息泄露漏洞,允许任何人查看facebook页面管理员的信息,而这些信息本应是隐私信息。
Baset称他在不到3分钟的时间内就发现了这个漏洞,并未使用任何一种测试、概念验证,或耗时的过程。
在这篇博文中,Baset将这个漏洞称之为“逻辑错误”。
facebook引进了一个页面管理特性,在用户点击“喜欢”该帖后,该页面会发给用户一个facebook邀请,并询问是否喜欢这个页面。发生交互的用户,在几天后,会收到facebook 邀请的邮件提醒。
Baset收到这个邮件邀请后,他打开了邮件中下拉菜单选项的“打开源码”选项。在邮件的源码中,包含有页面管理员的姓名,管理员ID和其他信息。
安全研究员立即将该问题提交给facebook的安全团队,facebook承认了这个bug,并奖励了Baset$2,500美元。
来源:thehackernews
本文由看雪翻译小组 哆啦咪 编译