Facebook Güvenlik Açığı Raporu Yayımlandı

 Facebook Güvenlik Açığı Raporu Yayımlandı
Okunuyor Facebook Güvenlik Açığı Raporu Yayımlandı

Facebook Güvenlik Açığı Raporu Yayımlandı

Yazılım güvenlik açıklarını bildirmek için teşvikler ödeyen “Hata Ödül Programı”, sadece teşviklerden 100 milyon yen kazanan ” böcek avcılarının ” olması gibi, bazen çok para hedefleyebilen bir platformdur.

Bununla birlikte, sıradan insanların yazılım güvenlik açıklarını bulmasının zor göründüğü de doğrudur.

Güvenlik araştırmacısı Alaa Abdulridha’nın “Facebook’ta Bulunan Şifreleri Değiştirmenize İzin Veren Güvenlik Açığı Raporu” adlı blog yazısı, bu tür hata ödüllerine biraz daha aşina.

Abdulridha, yeni korona virüsünün yayılmasıyla doğduğu zamandan yararlandı. , Web uygulamalarına giren ve güvenlik açıklarını bulan sızma testi için ” OSWE ” sertifika testini almıştır .

Orada olan bir makale Facebook alt alan “legal.tapprd.thefacebook.com” bölümündeki “PDF, HTML dönüştürmek için işlevi” açığını bulup Facebook’tan bir 1000 $ ödül aldı. Tetikleyici olarak “legal.tapprd.thefacebook.com” adresinde bir sızma testi yapmaya karar verdiği anlaşılıyor.

Önce Abdulridha bir yazılım hatası bulur.

Web sitenizde hangi sayfaların olduğunu keşfetmek için fuzzing aracını kullanın .

Araç ile yapılan arama sonucunda, erişim yasağını belirten “403 hatası” döndüren 43 sayfa olduğu tespit edildi.

Ayrıca, “https://legal.tapprd.thefacebook.com/tapprd/portal/authentication/login” ifadesinin 403 hatasıyla sonuçlanmadığı ortaya çıktı ve aşağıdaki giriş ekranı görüntülendi.

Giriş ekranını incelemek, “https://legal.tapprd.thefacebook.com/tapprd/auth/identity/user/forgotpassword” adlı bir sayfanın varlığını daha da ortaya çıkardı. URL’ye eriştiğinizde, e-posta adresinizi girme ekranı aşağıda gösterildiği gibi görüntülenecektir.

“Şifremi unuttum” sayfasının varlığından, Abdulridha “https://legal.tapprd.thefacebook.com/tapprd/auth/identity/user/” altındaki sayfaları bir araçla aradı ve “https: // legal. “Tapprd.thefacebook.com/tapprd/auth/identity/user/savepassword” adlı bir sayfa buldu.

Abdulridha, “şifre kaydet” sayfasının hesap şifresini değiştirebilecek bir güvenlik açığı olduğunu düşündü , bu nedenle şifreyi sayfaya bir grup güvenlik aracı olan Burp Suite’i kullanarak göndermeyi denedi, ancak başarısız olduğunu söyledi.

Böylece Abdulridha yönetici hesapları ve rastgele e-posta adreslerinin bir listesini aldı ve bunları sırayla belirteçlerle birlikte “şifre kaydet” sayfasına gönderdi ve bir hesabın şifresini değiştirmeyi başardı. Giriş ekranına e-posta adresini ve değiştirilen şifreyi girdiğimde yönetici ekranına erişebildiğimi duydum” dedi.

Abdulridha güvenlik açığının ciddiyeti hakkında şu yorumu yaptı: “Facebook çalışanları bu sayfaya iş hesaplarıyla giriş yaptılar, böylece bir saldırgan, güvenlik açığından yararlanılırsa bir Facebook çalışanının hesabına erişebilirdi. Oradaydı. “dedi.

Abdulridha, Facebook’a karşı savunmasızlığı bildirdi ve ödül olarak 750 $ aldı. Bu güvenlik açığına ek olarak, Abdulridha aynı sayfayla ilgili bir güvenlik açığı keşfetmiş gibi görünüyor ve yakın gelecekte içeriği yayınlaması planlanıyor.

Yorum Yap