ဒီပိုစ့္မွာေတာ့ facebook က fixed ျပန္လုပ္ျပီးသား bug တစ္ခု အေၾကာင္းကို တင္ျပေပးသြားမွာျဖစ္ပါတယ္
ဒီ bug ကို ရွာေတြ ့ခဲ့တဲ ့ Fin1te ဆိုတဲ့ ငနဲကေတာ့ US$ 20,000 ရသြားတယ္ဗ်။
အရင္ဆံုး သေဘာတရားကို ေျပာရမယ္ဆိုရင္ေတာ့
fb က သင့္ရဲ ့account တစ္ခုအတြက္ link လုပ္ဖို ့ mobile နံပါတ္ တစ္ခုေတာင္းတယ္ဗ်
အဲ့ဒီ mobile ရဲ ့ SMS ကေနတဆင့္ fb news feed ေတြ post ေတြ ကိုလည္း update ရသလို fb ကို login ၀င္တဲ့အခါ email address အစား အဲ့ ဖုန္းနံပါတ္ကို လည္း အသံုးျပဳလို ့ရတယ္ ဆိုတဲ့ အခ်က္ကေန အစ ဆြဲထုတ္ထားတဲ့ bug ပဲဗ်။
အဲ့ bug ရဲ ့အစကေတာ့ /ajax/settings/mobile/confirm_phone.php ရဲ ့အဆံုးပိုင္းနားမွာဗ်
account နဲ ့ phone no ခ်ိတ္တဲ့ ( verification code received via your mobile ) ရဲ ့ profile_id
က main ပဲ..
profile_id က account တစ္ခုကို account ပိုင္ရွင္ထည့္သြင္းထားတဲ့ mobile no တစ္ခုနဲ ့set လုပ္ျပီးသား အဲ့ဒါကို account ပိုင္ရွင္ မသိလိုက္ သတိမထားမိလိုက္ပဲ verification လုပ္တဲ့ mobile no ကို ေျပာင္းလို ့ရပါတယ္။
( ေအာက္မွာ ဆက္လက္ေဖာ္ျပထားေသာ exploit မ်ားသည္ မူလ bug ကို exploit လုပ္ထားသူ Fin1te ရဲ ့ UK မွ ျပဳလုပ္ပံု အဆင့္ဆင့္ျဖစ္ပါသည္ )
အရင္ဆံုး facebook SMS short code ျဖစ္တဲ ့ "F" ဆိုတဲ့ letter ကို 32665 သို ့ Send လုပ္လုိက္ပါ
ဒါဆိုရင္ေတာ့ character ၈ခု ပါတဲ ့ verification code တစ္ခု ကို receive ျပန္ရမွာျဖစ္ပါတယ္
ျပီးရင္ေတာ့ ဒီေနရာက code ကို ေအာက္က ေပးထားတဲ့ ပံုထဲကအတိုင္း modify လုပ္သြားတာပါ
profile_id element ထဲမွာ ကိုယ္ redirect လုပ္ခ်င္တဲ့ ကိုယ့္ mobile no ကို ျဖည့္သြားတာပါ။
ဒါဆိုရင္ေတာ့ မူလ user ရဲ ့value of __user နဲ ့ ကြ်န္ေတာ္တို ့ခုနက edit လုပ္ျပီး ျပင္လိုက္တဲ့ profile_id နဲ ့မတူေတာ့ဘူးဆိုတာကို ေတြ ့ရတယ္ခင္ဗ်။
ျပီးရင္ေတာ့ SMS နဲ ့တဆင့္ Confirmation ရမွာျဖစ္ပါတယ္
ဒီကေနမွတဆင့္ password reset ကို ေျပာင္းလဲထားတဲ့ mobile no ရဲ ့ SMS ကတဆင့္ reset ခ်သြားတာပါ။
ေနာက္ထပ္ SMS တစ္ေစာင္ ထပ္ေရာက္ပါေသးတယ္ အဲ့ဒါကေတာ့ password reset code ပဲျဖစ္ပါတယ္
ဒါဆိုရင္ေတာ့ ရရွိလာတဲ့ code ကို ျဖည့္ျပီး password အသစ္ ကိုေပးလိုက္မယ္ဆိုရင္
ပြဲသိမ္းသြားျပီေပါ့....
ဒီ bug ကို ရွာေတြ ့ခဲ့တဲ ့ Fin1te ဆိုတဲ့ ငနဲကေတာ့ US$ 20,000 ရသြားတယ္ဗ်။
အရင္ဆံုး သေဘာတရားကို ေျပာရမယ္ဆိုရင္ေတာ့
fb က သင့္ရဲ ့account တစ္ခုအတြက္ link လုပ္ဖို ့ mobile နံပါတ္ တစ္ခုေတာင္းတယ္ဗ်
အဲ့ဒီ mobile ရဲ ့ SMS ကေနတဆင့္ fb news feed ေတြ post ေတြ ကိုလည္း update ရသလို fb ကို login ၀င္တဲ့အခါ email address အစား အဲ့ ဖုန္းနံပါတ္ကို လည္း အသံုးျပဳလို ့ရတယ္ ဆိုတဲ့ အခ်က္ကေန အစ ဆြဲထုတ္ထားတဲ့ bug ပဲဗ်။
အဲ့ bug ရဲ ့အစကေတာ့ /ajax/settings/mobile/confirm_phone.php ရဲ ့အဆံုးပိုင္းနားမွာဗ်
account နဲ ့ phone no ခ်ိတ္တဲ့ ( verification code received via your mobile ) ရဲ ့ profile_id
က main ပဲ..
profile_id က account တစ္ခုကို account ပိုင္ရွင္ထည့္သြင္းထားတဲ့ mobile no တစ္ခုနဲ ့set လုပ္ျပီးသား အဲ့ဒါကို account ပိုင္ရွင္ မသိလိုက္ သတိမထားမိလိုက္ပဲ verification လုပ္တဲ့ mobile no ကို ေျပာင္းလို ့ရပါတယ္။
( ေအာက္မွာ ဆက္လက္ေဖာ္ျပထားေသာ exploit မ်ားသည္ မူလ bug ကို exploit လုပ္ထားသူ Fin1te ရဲ ့ UK မွ ျပဳလုပ္ပံု အဆင့္ဆင့္ျဖစ္ပါသည္ )
အရင္ဆံုး facebook SMS short code ျဖစ္တဲ ့ "F" ဆိုတဲ့ letter ကို 32665 သို ့ Send လုပ္လုိက္ပါ
ဒါဆိုရင္ေတာ့ character ၈ခု ပါတဲ ့ verification code တစ္ခု ကို receive ျပန္ရမွာျဖစ္ပါတယ္
ျပီးရင္ေတာ့ ဒီေနရာက code ကို ေအာက္က ေပးထားတဲ့ ပံုထဲကအတိုင္း modify လုပ္သြားတာပါ
profile_id element ထဲမွာ ကိုယ္ redirect လုပ္ခ်င္တဲ့ ကိုယ့္ mobile no ကို ျဖည့္သြားတာပါ။
ဒါဆိုရင္ေတာ့ မူလ user ရဲ ့value of __user နဲ ့ ကြ်န္ေတာ္တို ့ခုနက edit လုပ္ျပီး ျပင္လိုက္တဲ့ profile_id နဲ ့မတူေတာ့ဘူးဆိုတာကို ေတြ ့ရတယ္ခင္ဗ်။
ျပီးရင္ေတာ့ SMS နဲ ့တဆင့္ Confirmation ရမွာျဖစ္ပါတယ္
ဒီကေနမွတဆင့္ password reset ကို ေျပာင္းလဲထားတဲ့ mobile no ရဲ ့ SMS ကတဆင့္ reset ခ်သြားတာပါ။
ေနာက္ထပ္ SMS တစ္ေစာင္ ထပ္ေရာက္ပါေသးတယ္ အဲ့ဒါကေတာ့ password reset code ပဲျဖစ္ပါတယ္
ဒါဆိုရင္ေတာ့ ရရွိလာတဲ့ code ကို ျဖည့္ျပီး password အသစ္ ကိုေပးလိုက္မယ္ဆိုရင္
ပြဲသိမ္းသြားျပီေပါ့....
0 comments:
Post a Comment