它是Facebook Business Management Platform网址（https://www.facebook.com/business/）上的系统漏洞，能够根据搭建特殊的POST恳求信息将其加上到特殊店家的后端开发管理人员账号组。一切具备管理员权限的账号，用以管理方法Facebook店家后端开发和有关手机应用程序。 Facebook业务推广方案 Facebook商业服务管理系统（Facebook Business）是1个免費的Facebook服务平台，致力于协助广告主融合她们全部的Facebook活动营销和外界合作方。店家将可以出示和追踪广告词，管理方法首页和广告词账号等财产，并加上代理商或营销推广合作方以协助管理方法业务流程

。 Facebook Business是1个合适任何人的服务平台。各种各样经营规模的店家能够应用业务流程管理服务平台规范化管理全部业务流程财产和信息内容，便于井然有序地开拓市场。根据商业服务管理系统等中央政府商业中心，店家能够完全控制Facebook财产，安全性地管理方法客户访问限制，并成适度的客户授于适当的管理权限。 Facebook Business Management Platform中的店家管理人员账号（admin），用以管理方法店家服务平台和首页中的全部设定，客户和管理权限。 系统漏洞缘故和检测 在Facebook Business首页的管理方法设定中，存有将管理人员账号加上到店家背景图的通话恳求。该恳求沒有管理权限限定，网络攻击能够向一切商家后台加上具备管理员权限的客户。大概的POC编码给出： HTTP POST /业务流程/aymc_assets /管理人员/進口/ 节目主持人: facebook.com Business_id=TARGET_BUSINESS_ID Admin_id=MALICIOUS_USER_ID SESSION_ID=SESSION_ID 在其中，business_id表达总体目标店家的ID号，admin_id表达要加上的客户ID号。这2个大数字能够根据数据文件捕捉知道实际的结构文件格式。 PoC视頻： 系统漏洞危害 根据运用此系统漏洞，网络攻击能够向一切商家后台加上具备管理员权限的客户，而不用一切真实身份人物角色，进而得到与店家的Facebook业务流程有关的管理后台，业务流程首页，广告词账号和手机应用程序。和Instagram账号的监督控制管理权限。 系统漏洞汇报步骤 2018.10.9 向Facebook安全性精英团队汇报系统漏洞 2018.10.9 Facebook深化剖析和认证 2018.10.10 Facebook删掉了易受攻击的网络服务器 2018.10.15 Facebook再次审批确定 2018.10.15 Facebook修复漏洞 2018.10.17 Facebook给了我26,600美金的赏金 *资料可参考来源于：philip，云编译，从FreeBuf迁移 网络黑客业务流程目录详细介绍和通常归类： 类型：进攻侵入破译开发设计 1：进攻业务流程订单信息：临时撤销全部该类业务流程订单信息[仅市场销售基本IDC总流量] 2：侵入业务流程明细：包含网站源代码，办公系统，灰黑色系统软件，教育系统等。 3：破译业务流程类：手机软件，加密文件，再次装包，蜕壳等。 4：程序开发业务流程明细：手机软件程序开发，源码程序开发等 5：别的业务流程订单信息：校园广告的特洛伊木马策略[根据全部病毒防护]，远程操作，独特手机软件等 备注名称：未谈及的业务流程订单信息可依据关键类型查寻或立即联络顾客服务。为节省开支彼此時间，请在资询前阅读文章：业务流程买卖步骤及有关表明 留意:仅接受宣布业务流程，本人无法接纳。搜集此內容。