Facebook Photo.php User-Spoofing Vulnerablity [TH]

ก่อนหน้านี้โพสไปแล้วทีหนึ่งแล้วลบออกเพราะกะจะรอต่อดู แต่สรุปวันนี้ได้รับเมลconfirmแล้วว่าไม่ผ่าน “it does not appear to be a significant security risk.” เลยโพสใหม่สำหรับใครที่ยังไม่ได้อ่าน
facebook1
ถึงแม้มันอาจจะไม่อันตรายเท่าไร แต่ผมมองว่ามันสามารถเอามาทำphishingหรือแกล้งคนที่ไม่รู้ หรือdefameคนได้ดีพอสมควร
ไฟล์ photo.php ในfacebook จะมีparameterหนึ่งชื่อว่า set ปกติจะเห็นตอนเปิดภาพหรือวิดีโอ photo.php?fbid=123&set=123123
valueของparameterนิจะมีcharนำต้น เช่น a. t. อะไรก็ว่าไป
ซึ่งถ้าเราทำการเปลี่ยนvalueพวกนี้ เราก็จะสามรถเปลีย่นพวกลิ้งBack To Album, Album Nameในหน้านั้นได้
charนำต้น (อาจจะมีอีก)
a. – น่าจะเป็นalbum
t. – timeline (ต้องอยู่ในfriendlistถึงเรียกได้)
pb. – photo stream
gm. – postในกลุ่ม
vb – video
ตัวอย่าง
https://www.facebook.com/photo.php?fbid=169099303296011&set=pb.4
จะสังเกตุได้ว่าชื่อalbumจะเขียนว่า Mark Zuckerberg’s Photoและลิ้งBack To Albumจะลิ้งไปphoto streamของmark zuckerbergในที่นี้ผมแค่อัพภาพหนึ่งขึ้นมาในเพจผมอันหนึ่งแล้วทำการเปลี่ยนค่าของset ให้เป้นpb.4 4ก็คือidของพี่มาคนั้นเอง ถ้าเปลี่ยนเป็นt.4 ก็จะเด้งไปtimeline (ถ้าจะใช้tต้องอยู่ในfriendlistของยูเซอนั้น) (สามารถเอาไอดีfbได้ผ่านgraph api)
note: ปกติพอเปลี่ยนชื่อเจ้าของรูป ชื่อจิงจะยังโชอยู่ใต้รูป ในลิ้งผมจะไม่เห็น ผมใช้หลักการbypass name checkของเฟสบุคและสร้างเพจขึ้นมาแบบไม่มีชื่อ

เพิ่ม
ไฟล์photo.phpนี้แปลกพอสมควรมีparameterอะไรแปลกๆเยอะอยู่ เช่นเราสามารถเรียกcrop imageขึ้นมาผ่าน makeprofile=1&makeuserprofile=1และอื่นๆ ลองหากันดูครับ

https://www.facebook.com/groups/2600Thailand/permalink/221691717990864/

Advertisements