[Facebook] cheat boost premiere video post by MAYASEVEN

สวัสดีครับผู้อ่านทุกท่านโพสนี้เป็นงาน research ที่ทาง MAYASEVEN เจอช่องโหว่ของ facebook ในฟังก์ชันการ boost premiere video

ฟังก์ชันการโพสวิดีโอแบบ premiere นั้นเป็นฟังก์ชันใหม่ของ facebook พึ่งเปิดให้ใช้ไม่กี่เดือนมานี้เอง โดยสิ่งที่มันแตกต่างจากการโพสวิดีโอแบบธรรมดาคือมันสามารถเล่นวิดีโอเปรียบเสมือ live สดแถมมีแจ้งเตือนผู้คนเหมือน live สดด้วย ข้อดีแบบนี้ facebook ก็ได้มีการกำหนดมาว่าการโพสวิดีโอแบบ premiere video นั้นห้าม boost post นะ

เนื่องจาก facebook มีโครงการ bug bounty program คือใครที่สามารถหาช่องโหว่เจอและแจ้งไปที่ facebook จะได้รางวัลเป็นเงินตอบแทน
ทีมเราก็เลยลองหาช่องโหว่ในฟังก์ชันใหม่นี้ จนสามารถหาช่องโหว่ในการ boost นี้เจอได้โดยขั้นตอนการ hack ตามนี้ครับ

1. admin page โพสวิดีโอแบบ premiere ลง facebook page จะเห็นว่าปุ่ม boost post กดไม่ได้ตามรูปด้านล่าง

2. ทำการเพิ่ม moderator เข้าไปใน facebook page ให้สิทธิ์ boost ads จากนั้นให้ moderator ทำการ boost premiere video จะเห็นว่าสามารถ boost ได้ตามรูปด้านล่าง

 

ทาง MAYASEVEN ได้แจ้งช่องโหว่นี้ไปยัง facebook แต่ facebook บอกว่าช่องโหว่นี้ out of scope ของ bug bounty program
ในความหมายคือจะไม่จ่ายเงินให้เรานั้นเอง ผมก็เลยงอลนิดนึงและตอบไปว่าถ้าไม่ใช่ช่องโหว่ก็ไม่ต้อง fix นะ bug นี้ ผมจะเก็บไว้ใช้
ต่อมาไม่กี่วัน bug นี้โดน fix ผมก็เลยเอามาโพสแชร์เป็นความรู้นี่แหละท่านผู้ชม เคสนี้ก็คงเป็นตัวอย่างในเรื่องการ bypass business logic แบบหนึ่ง หรือจริงๆก็เป็น unauthorized access แบบหนึ่งนะ คือเขาเช็ค authorize ในการ boost post ว่าได้หรือไม่ได้ ไม่ครบทุก user roles นั้นเอง แต่ทำไมถึงชักดาบไม่จ่ายเงินละครับบบท่านผู้ชม …………..

เรื่องก่อนหน้า
Penetration Testing Methodology ที่ MAYASEVEN เลือกใช้
เรื่องถัดไป
[Facebook] OWASP 2013 A10 0day by MAYASEVEN

Related Posts

ไม่พบผลลัพท์

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *

Fill out this field
Fill out this field
โปรดใส่ที่อยู่อีเมลที่ใช้งานได้
You need to agree with the terms to proceed