Найден баг, позволяющий взламывать страницы групп в facebook Опции Подписка на тему Сообщить другу Версия для печати Скачать тему Подписка на этот форум Режимы отображения Переключить на: Древовидный Стандартный Переключить на: Линейный

[Decker]

Индийский специалист по безопасности Лаксман Мутиях (Laxman Muthiyah) нашел баг, позволяющий взламывать Facebook Business Pages, то есть страницы компаний и различных сообществ.

Мутиях рассказал в своем блоге, что сторонние приложения могут получить практически полный контроль над Facebook-страницей. В итоге, это может привести к тому, что жертва полностью утратит свои права администратора.

Сторонним приложениям разрешено производить практически любые операции, в том числе, публиковать статусы от имени пользователя, публиковать фото, выполнять другие задачи, однако Facebook, казалось бы, не позволяет им добавлять кого-либо в список администраторов страницы или модифицировать его.

Зато Facebook позволяет администраторам присваивать различные роли людям, состоящим в организациигруппе, через manage_pages – специальное разрешение доступа, запрашиваемое сторонними приложениями. Из-за этого, по словам исследователя, атакующий, при помощи простой последовательности запросов, может сделать себя админом определенной страницы Facebook. Используя запрос manage_pages, можно присвоить пользователю X статус MANAGER, то есть сделать его администратором данной страницы. Фактически, атакующий может получить полный контроль над аккаунтом.

Чтобы удалить саму жертву из списка администраторов, тоже не потребуется много манипуляций:
Delete /< page_id >/userpermissions HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
user=< target_user_id >& access_token=< application_access_token >



Читать дальше