Facebook : Supprimer un album de photos grâce à une faille

1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (5,00/5 - 2 vote(s))
Baptiste Réseau social 0
Facebook : Supprimer un album de photos grâce à une faille

Supprimer n’importe quel album de photos de Facebook, même si celui-ci ne vous appartient pas et que vous ne devriez ainsi pas être en mesure de le modifier ? C’est ce à quoi est parvenu Laxman Muthiyah, en exploitant une faille de l’API Open Graph du célèbre réseau social.

Pour ce faire, il aura suffit de combiner le token d’accès personnel de l’application mobile pour Android à l’identifiant de l’album photo concerné, avant d’envoyer l’ordre de suppression à Facebook, qui s’exécutait sans vérifier si l’identité de l’internaute correspondait au propriétaire des clichés à faire disparaître.

Request :-
DELETE /<Victim’s_photo_album_id> HTTP/1.1
Host :  graph.facebook.com 
Content-Length: 245
access_token=<Your(Attacker)_Facebook_for_Android_Access_Token>

Démonstration de la procédure pour supprimer les albums de photos :

Image de prévisualisation YouTube

Ayant remonté la faille plutôt critique à Facebook, Laxman Muthiyah a été récompensé à hauteur de 12 500 dollars. Tel que vous vous en doutez, la vulnérabilité n’est désormais plus exploitable puisque corrigée.

Via

Laisser un commentaire