19岁黑客找到暴露 Facebook 页面管理员的缺陷，获4500美元奖励

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Facebook Pages 是商务、品牌和组织机构的参与枢纽，它不同于 Facebook Groups。Facebook Groups 中管理员总是可见的，而这些页面的所有人是隐藏的。

深入挖掘了 Facebook 安卓版应用后，Shah 发现了一个不安全的直接对象引用（IDOR）漏洞，它可导致攻击者披露页面管理员的身份。要使该 exploit 发挥作用，目标页面需要拥有至少一个 Facebook Live 视频。

Shah 表示，“在Facebook 安卓版本拦截并导航至任意页面的实时视频部分时，我发现了一个易受攻击的端点。当请求中的 page_id 被更改为任意 page_id 时，页面管理员暴露在 broadcaster_id 参数的响应中。它可被进一步提升，通过创建脚本的方式获取大量页面的管理员信息，并且捕获新文本文件响应中 broadcaster_id 中的管理员信息。”

Shah 表示“Page 和个人ID 是完全不同的两个东西，任意 Facebook 页面的页面管理员都应该是未知的。如果有人找到管理员的个人账户，那么这就是一个严重的信息泄露漏洞。例如，很多名人通过 Facebook 页面运营，因此如果他们的个人账户被暴露，那么就可能获取他们的个人电话号码，这是一个很大的隐私问题。”

Shah 指出自己在2021年10月5日将漏洞提交给 Facebook 安全团队，后者称赞了其研究结果并在10月7日对漏洞进行分类并告知他不要做进一步测试。

Shah 表示Facebook 公司在10月21日修复了这个漏洞，自己在11月5日获得4500美元的奖励，而这是他首次获得 Facebook 漏洞奖励。

Meta 公司的发言人证实称该漏洞已修复，并对Shah 的协同披露表示感谢。目前，Shah 在 Facebook 名人堂中排名第38位。

具体的技术详情可见：https://medium.com/pentesternepal/how-i-was-able-to-reveal-page-admin-of-almost-any-page-on-facebook-5a8d68253e0c