翻译文章 | 我在Facebook上发现了一个奇怪的漏洞

原文链接：

大家好！快到饭点了，就着文章下饭吧。

我一直对测试Facebook这样的公司的安全性的挑战很感兴趣。它是世界上最大的社交网络，月活跃用户超过27亿。

话虽如此，以下是我最近发现并报告给Facebook的一个明显漏洞的快速报告。

这个故事

在做一些子域名枚举时，我发现了一个子域名，立即引起了我的兴趣：

原因是用于“合法需求”的服务器通常包含重要数据。

后来我开始谷歌，并在搜索结果上找到了以下端点索引

于是，挖洞之旅开始了👨‍💻

在做一些目录枚举时，一个奇怪的服务器行为引起了我的注意。我注意到，当我试图请求一些特定的目录时，服务器的响应延迟了几秒钟才返回错误:“403 Forbidden: Access is Denied”。

我决定发送200个针对 http:// legal.tapprd.thefacebook.com/tapprd/ 的http请求(没有任何有效负载)，以增加服务器的压力并观察其反应。

出乎意料的是，我使用Burp intruder 发送请求:

威胁次数:6

网络失败重试次数:4

重试前暂停(毫秒):3000

我离开电脑去喝冰啤酒了。🍺

我不知道30分钟后会发生什么！

通过同时向/tapprd/发送多个HTTP请求，一些请求成功绕过了403权限拒绝错误，并获得了完整的目录列表。🤩

在进一步挖掘和做了一些额外的测试之后，我得出了以下结论：

向特定目录同时发送HTTP请求可能导致服务器泄漏其内容。

我通过Burp(再次)发送HTTP请求，同时我用Firefox打开http://legal.tapprd.thefacebook.com/tapprd/。403错误消失了，我得到了一个漂亮的打开目录列表：

我开始用Firefox浏览这些文件夹，我发现了一个上传目录，里面有一些奇怪的XLSX文件：

我点击查看了一些样本，嘭!💥

这些文件是由Facebook法律团队上传的，包含了大量内部机密的商业和个人信息。我决定停止我的研究，准备了一个POC视频，并向Facebook发送了一份详细的漏洞报告。

本文迁移自知识星球“火线Zone”

学到了，并发请求绕过403。

303 带带弟弟吧！