Hipotetikus Facebook sebezhetőség

Vajon a gyakorlatban is lehet moderátori jogokat szerezni MINDEN comment dobozhoz?

Hipotetikus Facebook sebezhetőség

  • 2013-05-05
  • 2082 megtekintés
  • Szerző: Basa Bence

A minap az egyik általam kezelt projekt facebook-osítása közben jutott eszembe egy lehetséges sebezhetőség.

Facebook alkalmazás fejlesztés

Vegyük a Facebook Comment dobozát, ami a maga faék egyszerűségével odatehető bármilyen oldal aljára. A moderátori hozzáférés viszont általában nincs túlcicomázva, a metába helyezett ID alapján készül.

Mi lenne viszont akkor, ha a Comment modul betöltősése ELŐTT egy megfelelő eszközzel (chrome developer tools, firefox debugger, miegymás) szüneteltetnénk a betöltést, átírnánk a "fb:admins" szekciót a saját facebook azonosítónkra, és úgy folytatná tovább az oldal a töltést?

A modulnak valószínüleg gőze se lenne, hogy mi történt, és így az szerez moderátori jogokat, aki akar - a következő lépést pedig mindenki fantáziájára bízom.

Vajon ha beigazolódik a sebezhetőség, mégis milyen következményekkel járhat? Mivel a modul alapjait érinti, nagyon módosítani nem lehet - vagy az erre épülő dobozok eltűnnek. Persze ha tartozik alkalmazás is az adott oldalhoz, azon keresztül meg lehet adni kézzel is a moderátorokat, de akkoris, ez irgalmatlan mennyiségű weboldalt fenyeget...


Elméletben műköködhet, gyakorlatilag viszont még nem sikerült rávennem egy böngészőt sem, hogy segítsen. Ha bárkinek van bármi ötlete a témával kapcsolatban commentelje meg jól alább :)