La vulnerabilidad del punto final del administrador comercial de Facebook permite que una aplicación de terceros piratee una página cuenta de Facebook Con permisos limitados, la víctima perderá permanentemente el acceso de administrador a la página.
Por defecto, la interfaz no permite aplicación de facebook A aplicaciones de terceros agregando o modificando roles de administrador de página (roles de página como Administrador, Editor, Analista, etc.). Las aplicaciones de terceros pueden realizar todas las operaciones, como publicar estados en su nombre, publicar fotos, etc., excepto agregar roles de administrador porque si la aplicación puede agregar o eliminar administradores, puede agregar algunos usuarios como administradores de la página y eliminar permanentemente al propietario real.
Por otro lado, hay un punto final de Business Pages llamado permisos de usuario que permite agregar o eliminar los roles de los administradores de Business Page que ya están tratando con los negocios de Facebook.
La siguiente solicitud hará que el usuario objetivo sea el administrador de la página.
Request :- POST /<page_id>/userpermissions HTTP/1.1 Host : graph.facebook.com Content-Length: 245 role=MANAGER&user=<target_user_id>&business=<associated_business_id>&access_token=<application_access_token> Response:- true
Después de unos minutos de prueba, aprendí que eliminar el parámetro comercial de la solicitud no generaba ningún error y nos permitía agregar a cualquier persona como el nuevo administrador de la página y eliminar al administrador de la página real en la página no comercial donde se encuentra la aplicación. tiene permiso de administrador.
¡Este es! Cualquiera que sea la aplicación, si tiene el permiso manager_pages del administrador, puede piratear todas las páginas de su cuenta de Facebook en solo unos segundos.
Captura de página:
Request :- POST /<page_id>/userpermissions HTTP/1.1 Host : graph.facebook.com Content-Length: 245 role=MANAGER&user=<target_user_id>&access_token=<application_access_token> true
Eliminar a la víctima:
Request :- Delete /<page_id>/userpermissions HTTP/1.1 Host : graph.facebook.com Content-Length: 245 user=<target_user_id>&access_token=<application_access_token> Response:- true
¡Eso es todo! ¡La página de destino ha sido pirateada!
Esta vulnerabilidad se ha informado al equipo de seguridad de Facebook y ahora se ha resuelto por completo.
El cuadro de diálogo de permisos se verá así
Si se solicita manager_pages, tenga en cuenta que esta aplicación podrá administrar sus páginas (estados de publicación, imágenes de publicación, etc.)
La gente no necesita preocuparse, aún puede modificar los permisos que ha otorgado a las aplicaciones otro aquí.
También puedes leer cómo Ganar dinero a través de los blogs en nuestro artículo. Es prueba AZ de Blogging le ayuda a obtener su primer cheque.