在该Writeup中,作者通过子域名枚举、文件枚举和代码审计方式,成功构造了有效的服务端请求,实现了Facebook某网站的SSRF(服务端请求伪造),可通过该方式探测收集Facebook网站内部信息,漏洞收获了Facebook官方奖励的$10000。以下是作者的漏洞发现过程,非常简单。
通过对Facebook网站大量的子域名测试枚举,我发现了其中一个子域名网站-phishme.thefacebook.com,它的主页响应为403:
在我的另一篇漏洞Writeup中,我就曾通过这种403响应发现了Facebook的一个高危漏洞-? Story of a weird vulnerability I found on Facebook ?。
在此,我通过一个通用的字典库,针对https://phishme.thefacebook.com/**.js做了 *** 文件枚举,发现了一个隐藏的 *** 文件-https://phishme.thefacebook.com/Home.js。
阅读了Home.js的代码流程之后,我发现了其中一个有意思的 *** 函数? sendPhishRequest ? ,它针对某些特定链接使用XHR方式请求数据。经深入分析,我了解了其具体的函数运行机制:
Util.sendPhishRequest(‘PhishGetItemData.ashx’, { itemId: itemId, ewsUrl: ewsUrl, token: token }
经过一番token格式尝试,最终我成功利用上述sendPhishRequest *** ,构造了发往Facebook服务端的有效请求。具体参数如下:
itemId: 123
ewsUrl: http://127.0.0.1:PORT
token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7Hg
POC:
https://phishme.thefacebook.com/PhishGetItemData.ashx?itemId=123&ewsUrl=http://127.0.0.1:PORT/&token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7Hg
该请求让Facebook服务端抛出了一个405不被允许的响应,而在响应中又以stack-traces栈跟踪方式返回了服务端内部的调试信息。如此这般,通过变换请求中的端口、参数等属性,可探测收集Facebook服务端的内部配置信息,威胁Facebook服务端安全。
2020.8.7 ? ?漏洞上报
2020.8.11 ?漏洞分类
2020.8.11 ?发布漏洞补丁
2020.12.3 ?漏洞修复完成
2020.12.3 ?Facebook奖励$10000
参考来源:medium,编译整理:clouds,转载请注明来自Freebuf.com
如何降级成ios11?很多人升级成ios12之后发现耗电、卡顿等问题,又后悔升级了,那么我们能不能降回到ios11呢?答案当时是可以的啦,下面为大家介绍苹果手机系统降级教程。 准备工作 1、准备好...
伴随着在我国信息化管理和信息安全确保工作中的持续大力开展,以安全性集成化,紧急服务、风险评价、安全运维、工业自动化网络信息安全的人员管理和安全性资询为具体内容的信息安全服务在信息安全确保中的功效日益突...
本文导读目录: 1、我这个属于大头母草吗 我这个属于大头母草吗 个人观点:不认为大头草是独立龟种,大头草和头大草是一个概念.我知道很多龟友都持相反观点.我也只是推测,从我的理解来看这个问题.大头草的...
开启Microsoft Excel,挑选报表进到,然后选定整列的报表并长按,挪动到必须的部位上就可以。 知名品牌型号规格:华为公司P40 系统软件:EMUI11.0.0 软件版本:Microsoft ...
打开支付宝首页搜索"9255626”获取更多惊喜,赶紧行动吧!! 我们要恢复删除的照片,需要准备一台常用的电脑(Windows或Mac系统均可)和开心手机恢复大师。有了这些恢复工具后,我们就可以...
海峡网2月16日电(新华社记者李伟、侯文坤)在国家法律政策允许下,并征得患者家属同意,全国第一例、第二例由遗体解剖获得的新冠肺炎病理16日完成送检。 记者从武汉市金银潭医院获悉,16日凌晨3时许,全...