Хакер нашел способ читать файлы на серверах Facebook

    image


    Bug Bounty программы приносят плоды различным фирмам, в том числе и крупнейшим. Чаще всего, хакеры находят достаточно простые в эксплуатации уязвимости вроде XSS и CSRF, но бывают и интересные, которые встречаются достаточно редко. Одним из таковых, является недавний пример чтения файлов на серверах Facebook, найденный Йосипом Франковичем (Josip Franjković).


    Слабым местом фейсбука оказалась форма загрузки файлов, расположенная на странице загрузки резюме. Попытавшись загрузить файлы с потенциально опасными расширениями вроде .php, а также файлы с именами наподобие "/etc/passwd" и «file:///etc/passwd», Йосип, получал лишь путь к этим файлам, а также их содержимое, после преобразования в Base64.

    Продолжая загружать различные файлы, он заметил, что загруженный архив с расширением .zip распаковывается и в ответ выдается все тот же контент в Base64 и путь к распакованным файлам. После этого, Йосип создал на своем компьютере симлинк на файл "/etc/passwd" (ln -s /etc/passwd link), упаковал его в ZIP (zip --symlinks test.zip link) и попробовал загрузить на сервер в качестве резюме. В ответе от сервера было содержимое файла "/etc/passwd", находящегося на сервере Facebook. Таким способом, он мог прочитать любой файл на сервере.

    Содержимое файла "/etc/passwd" на сервере
    image

    На устранение уязвимости, фейсбуку потребовалось менее 12 часов. Вознаграждением для Франковича, по программе поощрения «белых» хакеров, стала выплата в размере $5500.

    UPDATE #1: в своем блоге автор рассказал, что чтение файлов производилось не на сервере Facebook, а на стороннем сервере, который обеспечивает проверку резюме. Именно из-за этого выплата оказалась такой маленькой.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 13

      +47
      > Вознаграждением для Франковича, по программе поощрения «белых» хакеров, стала выплата в размере $5500

      По-моему, маловато для такой уязвимости
        +11
        Согласен, такие вознаграждения не уровень Facebook.
          +13
          Думаю на черном рынке с этой уязвимостью он бы заработал по больше )
            +14
            Больше… лет
            +6
            В оригинальной статье есть пояснение: для просмотра содержимого аттачей использовался сторонний софт, то есть уязвимой оказалась сторонняя система, а не сервер fb.
              +5
              Тоже мне отмазка. Если эта «сторонняя система» обрабатывала приватные данные пользователей фейсбука, то её вполне можно считать частью его инфраструктуры.
            +2
            Классно. Только не понятно — а зачем fb отдавал путь и контент загруженного файла? Не понятен смысл, да и трафик туда-сюда?
              0
              Чтобы пользователь мог просмотреть, что загрузил, и поделиться ссылкой на файл?
              +43
              В оригинале: «therefore I could not actually access any part of Facebook's internals»
              На Хабре: «Хакер нашел способ читать файлы на серверах Facebook»
              Лучшая статья за сутки, ага.
                +6
                Это дополнение появилось после поста на хабре. Возможно автор его читает ;)
                +2
                Нормальное у него резюме получилось :)

                А'ля «размещайте ваши CV на сервере www.microsoft.com»
                  0
                  Да, действительно отличная статья.
                  Я согласен с тем, что награда не та, что должна быть.
                    –2
                    Я бы поменял заголовок на «Хакер получил награду от Facebook за взлом с чтением файлов на сервере».

                    Only users with full accounts can post comments. Log in, please.