资安工程师Daniel△Le△Gall在SCRT资讯安全博客发表文章,他发现脸书一台伺服器存在远端程式码执行漏洞,在他回报脸书后,脸书已经修正漏洞并给作者5,000美元作为奖励。
Daniel△Le△Gall经常性的对有参加Bug△Bounty计划的企业搜寻漏洞,而在他扫描脸书IP区段时,发现了托管在IP位置199.201.65.36,域名为sentryagreements.thefacebook.com的Sentry服务,Sentry是一个日志收集网页服务,以Python使用Django框架撰写。Daniel△Le△Gall查看该服务发现,不明原因的有许多堆叠追踪资讯会定期的出现在页面上,这些资讯看似由于密码重设功能使系统不稳定造成的,甚至有时候会崩溃,因为系统启用Django除错模式,因此环境参数都被显示出来。
作者从列印出来的资讯,发现了利用Python物件序列化的二进位协议Pickle△骇入系统的方法,他提到,只要可以伪造包含任意Pickle内容的Session,就能够在这个脸书的伺服器上执行任意程式码,Daniel△Le△Gal从堆叠追踪印出的资料SENTRY_OPTIONS,找到了用来Session签入的密钥。
Daniel△Le△Gal成功的利用这个漏洞建立了概念性验证,置换既存Sentrysid△Cookie的内容,并以任意物件填充让系统休眠半分钟。Daniel△Le△Gal在7月30日通报脸书后,脸书也即刻将系统下线,由于系统中没有用户资料,且位在单独的VLAN中,因此没有造成任何损害,脸书于8月9日修补完成系统重新上线,并给作者5,000美元作为奖励。
I 相关 / Other
《Fortnite》Android Installer 有漏洞 黑客可借此安装恶意软件 | 香港 UNWIRE.HK 玩生活.乐科技
当游戏商 Epic Games 宣布跳过 Google Play 商店,直接推外出游玩戏《Fortnite》的 Android 版,当时很多资讯保安专家都担心,鼓励玩家和不了解资讯安全的用户自行下载和安装软件,会引发安全问题。结果专家们的担忧
女乘客遭司机奸杀 揭滴滴出行严重漏洞 | 香港 UNWIRE.HK 玩生活.乐科技
大陆温州市日前发生了一宗和叫车软件有关的悲剧,当地公安证实在 8 月 24 日,一位女乘客被滴滴出行的司机先奸后杀。该手机叫车软件公司发声明对事件深表遗憾,同时也承认他们的安全措施出现严重问题,因为此次惨剧原
Apache软件基金会修补Struts 2的远端程式攻击漏洞
图片来源: Man△Yue△Mo Apache软件基金会(Apache△Software△Foundation)于本周三(8/22)修补了Apache△Struts△2中一个可能会引发远端程式攻击的安全漏洞,有鉴于Apache△Struts△2过去出现类似的重大漏洞时,相
图片来源: 维基百科,微软 Slack软件工程师Felix△Rieseberg利用开源软件框架Electron把微软的Windows△95作业系统变成可在任何平台上执行的应用程序,并在周四(8/23)借由GitHub释出。Windows△95是微软在1995年推
英特尔禁止外界公布漏洞修补对PC的效能影响,引发开源阵营批评
示意图,与新闻事件无关。 接连爆发重大漏洞Spectre、LT1F后,英特尔释出更新微机码来修补。不过由于修补程式可能影响PC效能,开发人员指控,英特尔不准他们将系统效能标竿测试的情况公布出来。英特尔则在稍晚出面