Facebook奖励研究人员$ 100,000，用于查找授予内部访问的错误

在2024年10月，安全研究员本·萨德格（Ben Sadeghipour）发现了一个安全漏洞，使他能够在内部Facebook服务器上运行该平台，从而分析了Facebook的广告平台。

。

在他报告了Facebook所有者Meta的脆弱性之后，Sadeghipour说，这只花了一个小时才能解决此问题，这家社交网络巨头向他授予了100,000美元的漏洞赏金支出。

“我的假设是您可能想要修复的东西，因为它直接在基础架构内部，” Sadeghipour在他发送给Meta的报告中写道，他告诉TechCrunch。 Meta回应了他的报告，告诉Sadeghipour在解决漏洞时“不要进一步测试”。

根据Sadeghipour的说法，这个问题是Facebook用于创建和交付广告的服务器之一很容易受到C中以前固定的缺陷的影响。Hrome浏览器，Facebook在其广告系统中使用。 Sadeghipour说，这个未插入的错误使他可以使用无头的Chrome浏览器（本质上是用户从计算机终端运行的浏览器的版本）劫持它，以直接与Facebook的内部服务器进行交互。

Sadeghipour发现Facebook漏洞与独立研究员Alex Chapman合作，他告诉TechCrunch，在线广告平台为多汁的目标做出了，因为“在制作这些'广告'的背景下，无论是视频，文本还是图像，都会发生很多事情。” 

“但这一切核心是在服务器侧处理的一堆数据，它为大量漏洞打开了大门，” Sadeghipour。

研究人员说，他没有测试他在Facebook服务器中本来可以做的一切，但是“这使这种危险的是这可能是内部基础设施的一部分ture。”

“由于我们执行了代码，因此我们可以与该基础架构中的任何站点进行互动，” Sadeghipour说。 “有了[远程代码执行漏洞]，您可以绕过其中的一些限制，也可以直接从服务器本身和它可以访问的其他机器中拉出东西。”

元发言人妮可·卡塔拉诺（Nicole Catalano）承认收到TechCrunch的评论请求，但没有发表发言。

sadeghipour还说，其他公司经营和他正在分析的类似广告平台很容易受到类似漏洞的影响。