ЛЕГКИЕ ДЕНЬГИ: ХАКЕР ПОКАЗАЛ ЭЛЕМЕНТАРНЫЕ BUG BOUNTIES

https://xakep.ru/wp-content/uploads/2015/07/6355318323_4c41d3ef76_b-1000x750.jpg
Независимый специалист по безопасности Иосип Франжкович (Josip Franjković) поделился с сообществом самыми простыми хаками, которые принесли ему деньги по программам выплат за нахождение уязвимостей. Действительно, это настолько элементарные вещи, что заработанные деньги кажутся по-настоящему халявными.

Баг со списком френдов

На мобильном веб-сайте m.facebook.com есть вариант просмотра календаря за год, где указано, сколько друзей вы завели, где они чекинились и т. д. Если нажать «Завел хх новых друзей», то вызывается следующий URL:

https://m.facebook.com/username/year/20 … iends_made
По нему показывается список всех френдов, которых кто-то завел в 2014 году. Если изменить username, то можно посмотреть список друзей любого другого пользователя, независимо от настроек приватности на обоих аккаунтах. По существу, это баг IDOR.

https://xakep.ru/wp-content/uploads/2015/07/0035.png

Баг с совместными фотографиями

Второй баг практически идентичен первому, только здесь мы эксплуатируем функцию, которая показывает, с кем пользователь чаще всего встречается на фотографиях (Most tagged with). Опять же, работает независимо от настроек приватности при изменении имени пользователя в URL.

https://m.facebook.com/username/stories … gged_with/
Иосип Франжкович говорит, что на сайте есть другие «фактоиды» с такими URL, но поверхностная проверка не обнаружила каких-то багов.

Facebook исправил первый и второй баги 30 апреля и 7 мая, соответственно. Хакеру выплачено вознаграждение $5500.