Facebook已经送出了该公司最大的一笔"漏洞赏金"。安全研究人员发现了一个有可能完全控制网络内服务器的漏洞,而Facebook则重奖了他33500美元。2012年以来,巴西计算机工程师Reginaldo Silva一直在钻研OpenID方面的漏洞——该技术允许用户使用一个现有的账号身份、并登录其它
Facebook已经送出了该公司最大的一笔"漏洞赏金"。安全研究人员发现了一个有可能完全控制网络内服务器的漏洞,而Facebook则重奖了他33500美元。2012年以来,巴西计算机工程师Reginaldo Silva一直在钻研OpenID方面的漏洞——该技术允许用户使用一个现有的账号身份、并登录其它兼容的服务。
例如,一名信任赛门铁克个人身份门户(Personal Identity Portal)的用户,可以创建一个OpenID账户,然后用它登录到WordPress。
而在本案中,倘若用户忘记了自己的密码,Facebook本身也可以作为一个OpenID提供商,以验证用户的身份。作为通信过程的一部分,Facebook会与"提供商"进行"沟通"、接收一份XML文档并解析,以确认"提供商"是否正确。
尽管这意味着Facebook不会被一个fake provider欺骗,但仅仅解析XML响应的简单动作,却会受到已知的"XML外部实例处理漏洞"(XML external entity processing vulnerability)的影响。
该漏洞允许一名攻击者指定一个储存于系统标识符(system identifier)中的统一资源标识符(URI),然后呼出该标识符进行数据检索。在大多数情况下,XML处理器都被要求禁止加载外部实体。
指定任意URI的能力,意味着Facebook服务器在处理OpenID请求的时候,会被"胁迫"使用任意的网络连接。如此一来,攻击者就可以利用Facebook的带宽进行拒绝服务(DDoS)攻击。
然而,最重要的是,它允许访问本地文件系统。基于此,Silva能够访问到服务器上的/etc/passwd文件,其中包含了所有用户的账户列表、及其主目录的路径。
实验进行到这一步,Silva没有采取进一步的提权操作,而是将bug汇报给了Facebook。
Silva在他的博客上写到:"我没想搞破坏,于是决定通过正确的方式报告错误——请求获得远程执行代码的许可,然后在其被修复前收手"。
网友评论