Facebook再曝“图片删除”漏洞，发现者获1万美元奖励

如果你认为一家市值超过5000亿美元的网站就不会存在任何安全漏洞，那么你就大错特错了。

近日，来自伊朗的安全研究人员Pouya Darabi发现了一种方法，可以利用Facebook“polling”（投票）功能中存在的安全漏洞，删除Facebook上任意的图片文件。随后，他将漏洞信息报告给了Facebook公司，并成功获得了10,000美元的赏金奖励。

大家都知道，早在先前，脸书（Facebook）就已经支持 GIF 图片功能，让用户可以上传 GIF 动画制造创意的回复，不过现在脸书官方似乎想让该功能更上一层楼，结合投票问卷功能来让发文能更加多元、有趣。

本月早些时候，社交媒体巨头Facebook就发布了这样一项新功能，允许其用户可以在动态贴文中发起 GIF 投票（poll），可以向朋友们问问题，并且以 GIF 动画当作贴文图片。用法只需在贴文选项中的“Poll”点一下，就可以搭配 GIF 图片当作问题答案。

不过，Darabi却发现，正是这款旨在丰富用户体验的新功能中却存在一个安全漏洞，极易遭受攻击影响。

该安全专家在分析发送到Facebook服务器中的请求后发现，当用户创建一个“Poll”后会有一个图像文件标识符（ID）添加到“Poll”中，而攻击者只通过将请求中的图像文件ID替换为社交网站上的任何其他图片的ID，就可以轻松设置“Poll”的图像。然后Darabi发现，一旦创建该“Poll”的用户删除了帖子，那么添加到该请求中的ID相对应的图像也会随之从社交网络中移除。

该研究人员在随后发布的一则PoC视频中解释称，

“每当用户尝试创建一个新的‘Poll’时，包含gif URL或图像ID的请求（poll_question_data[options][][associated_image_id]）就会被发送至服务器中。而当该字段值被更改为任何其他图像ID后，该替换后的图像就会显示在‘Poll’中。当用另一个用户图像ID（由其他人上传）发送请求后，就会创建一个包含该图像的‘Poll’。最后，当创建者删除该‘Poll’后，已经被添加到请求中的图像ID相对应的图像文件也会随之删除—即使该图片并非创建者所上传和拥有。”

据悉，Darabi于11月3日已经向Facebook报告了关于该漏洞的信息，该公司在当天就发布了一个临时性修复程序。永久性的修复程序于11月5日完成，11月8日，该安全专家获得了来自Facebook提供的1万美元的赏金奖励。

早在2015年，Darabi还曾因发现“绕过Facebook跨站请求伪造（CSRF）保护系统”的漏洞而获得了15,000美元的奖金，2016年，他又因类似的漏洞而获得了另外7,500美元的奖励。

同时，Facebook被曝出可任意删除照片的事也不是一次两次了。早在2013年9月，印度一名21岁的开发者就曾向Facebook安全团队申报了该网站的一项致命漏洞，通过该漏洞，黑客可以删除任何用户的照片。这个致命漏洞最终获得Facebook认可，而漏洞发现者也获得了1.25万美元的奖励。