2016年12月17日土曜日

Facebook Bugbounty

Product: Facebook CTF(https://github.com/facebook/fbctf)

Vulnerability: Session invalidation

詳細: adminユーザーはadmin権限が外された後もログアウトするまでの間、admin権限を保持することができてしまう。

問題:

1. adminユーザーが他のユーザーのadmin権限を外す

2. admin権限が外されたユーザーはログアウトする前に、admin権限を自分につけもどす(privilege escalation)

Patch: 修正後、adminユーザーが他のadmin権限を外した場合、そのユーザーは強制的にログアウトさせられるようになった(Adminセッションを消すため)。

Proof of concept: Google driveに動画アップしました。

https://drive.google.com/open?id=0B1vJ77JB-BeoX2YwMlV5S1hoeG8



time line:

2016/7/27 Facebookへ報告(report) 

2016/8/13 Facebookから返信(triage) 

2016/12/9 Githubからパッチがmergeされる(resolve)

2016/12/16 報奨金支払い(reward)