Week 10, continued
目录:
该漏洞可能使潜在的攻击者窃取称为OAuth访问令牌的敏感信息。 Facebook使用OAuth协议在用户批准后为第三方应用程序提供对用户帐户的访问权限。每个应用程序都为每个用户帐户分配一个唯一的访问令牌。
[进一步阅读:如何从Windows PC删除恶意软件]
Goldshlager在Facebook网站上发现了一个漏洞,针对移动设备和触控设备, URL路径的净化。这允许他制作可用于窃取用户在其个人资料中安装的任何应用程序的访问令牌的URL。
虽然Facebook上的大多数应用程序都是用户需要手动批准的第三方应用程序,但有一个几乎没有预先批准的内置应用程序。其中一个应用是Facebook Messenger;其访问令牌不会过期,除非用户更改其密码并且具有访问帐户数据的广泛权限。Facebook Messenger可以读取,发送,上传和管理消息,通知,照片,电子邮件,视频等。 Goldshlager表示,在m.facebook.com和touch.facebook.com上发现的URL操作漏洞可能被利用来窃取用户对Facebook Messenger的访问令牌,这将使攻击者可以完全访问该帐户。 by bug-hunter
攻击URL可能被缩短了许多URL shortener服务之一,并发送给用户伪装成其他链接。 Goldshlager表示,这种攻击对于启用Facebook双因素身份验证的帐户也有效。利用访问令牌和Facebook用户ID,攻击者可以使用图形API资源管理器从用户帐户中提取信息, Goldshlager周五通过电子邮件表示,
根据Goldshlager的说法,Facebook安全团队修复了这个漏洞。 “Facebook拥有一支专业的安全团队,他们能够快速解决问题,”他说,“我们赞扬安全研究人员,他将这个问题提请我们注意,并负责向我们的白帽子计划报告错误,”Facebook代表星期五通过电子邮件。 “我们与团队一起工作,以确保我们能够理解漏洞的全部范围,这使得我们能够在没有任何证据证明这个漏洞在野外被利用的情况下修复漏洞。由于负责向Facebook报告此问题,我们没有证据表明用户受到此错误的影响。 “
研究人员声称,他还发现了影响Facebook的其他OAuth相关漏洞,但拒绝透露任何有关他们的信息,因为他们没有提供任何有关他们的信息,
Facebook运行一个bug奖励计划,通过该计划向安全研究人员支付金钱奖励,他们发现并负责任地报告影响该网站的漏洞。
Goldshlager在Twitter上称,他尚未获得Facebook的支付报告此漏洞,但指出他的报告包含多个漏洞,并且在他们全部修复后他可能会收到奖励。
Goldshlager通过电子邮件表示,Facebook向安全研究人员非常好地寻找和报告错误。 “我不能说多少,但是他们付出的钱多于我知道的其他任何bug奖励计划。”
更新于太平洋时间上午11点55分,以包括来自Facebook的评论。