原文:
https://infosecwriteups.com/poc-remove-any-facebooks-live-video-14-000-bounty-70c8135b7b4c
描述/影响
有一个功能(视频修剪),允许Facebook用户从实时视频中删除不必要的内容,只有所有者可以代表他们进行此操作,但是根据我的测试,我观察到可以代表所有者修剪任何实时视频这不是预期的行为
影响
任何人都可以在Facebook上修剪任何实时视频。将视频修剪到5毫秒将导致该视频的时长为0秒,并且所有者将无法解开视频。
概念验证/步骤
1.获取目标实时视频ID
2.获取当前用户ID
3.复制请求
POST
/api/graphql/?__a=1&doc_id=3975916122480615&variables{"input":{"end_time_ms":12000,"start_time_ms":0,"video_id":"valueFromStepOne","actor_id":"ValueFromStepTwo","client_mutation_id":"1"}}
4.
以毫秒为单位更新end_time_ms的时间(以毫秒为单位)(1秒= 1000 MS, 10000 MS = 10秒),如果视频时长为5分钟,则结果将使视频的时长仅10秒。
5.提交请求
Response
{
“errors”:
{
…
“code”: 1675030,
…
}
响应返回了错误#1675030,但已完成。
再次更新字段(end_time_ms)以删除视频内容
end_time_ms:1
这将删除视频内容(所有者无法恢复原始视频)
原始视频时长将变为0秒
影响
任何人都可以在Facebook上修剪/解开任何实时视频。将视频修剪到5毫秒将导致该视频的时长为0秒,并且所有者将无法解开视频。
时间线
2020年9月25日:报告已发送
2小时后由Facebook进行分类
2020年9月28日:补丁已被Facebook确认
2020年10月10日 BountyCon 2020(奖金)期间颁发奖金$ 11,000
2020年12月10日:Facebook授予了额外的$ 1150赏金
2020年12月10日:Facebook授予了额外的$ 2300赏金
译者按:
这本来是一个没啥用越权,但是作者巧妙通过修改剪辑视频时常,因为视频的时间单位时毫秒,所以修改时间之后,基本视频就没法看了,造成了任意视频删除,进而提升了漏洞的危害。就是不知道作者在哪个域名上挖到的,比较遗憾。
本文迁移自知识星球“火线Zone”
