首页
论坛
课程
招聘

只需一个小bug,就可获取facebook页面的管理员权限

2018-03-06 09:27

facebook的页面管理员文件,只有在管理员选择公开后,才会被公开展示。


然而,在某些情况下,你可能想联系该facebook页面的管理员,或知道是谁在负责这个页面。


埃及安全研究员Mohamed A. Baset 发现了facebook中的一个严重的信息泄露漏洞,允许任何人查看facebook页面管理员的信息,而这些信息本应是隐私信息。


Baset称他在不到3分钟的时间内就发现了这个漏洞,并未使用任何一种测试、概念验证,或耗时的过程。


在这篇博文中,Baset将这个漏洞称之为“逻辑错误”。


facebook引进了一个页面管理特性,在用户点击“喜欢”该帖后,该页面会发给用户一个facebook邀请,并询问是否喜欢这个页面。发生交互的用户,在几天后,会收到facebook 邀请的邮件提醒。


Baset收到这个邮件邀请后,他打开了邮件中下拉菜单选项的“打开源码”选项。在邮件的源码中,包含有页面管理员的姓名,管理员ID和其他信息。


安全研究员立即将该问题提交给facebook的安全团队,facebook承认了这个bug,并奖励了Baset$2,500美元。




来源:thehackernews

本文由看雪翻译小组 哆啦咪 编译


声明:该文观点仅代表作者本人,转载请注明来自看雪专栏
最新评论 (0)
登录后即可评论