最近，伊朗安全专家Pouya Darabi发现Facebook新的民意调查功能存在漏洞，可用于删除其他人上传到Facebook的图片。这个漏洞非常简单，但它非常有影响力。在Pouya Darabi报告此漏洞后，他获得了10,000美元的Facebook奖励。 漏洞详细信息 Facebook于11月初推出了这项新的民意调查功能。当用户询问朋友和网友时，他们可以匹配图片甚至GIF动画。此功能对于选择困难的人可能非常有用。当您担心吃什么或买什么时，您可以立即拍照或分享GIF以询问其他人。漏洞的整个过程可能是这样的： 当用户使用要共享的图片创建投票时，向GIF链接或图像编号的请求被发送到Facebook，其是poll_question_data [options] [] [associated_image_id] 其中上载图像的id包括在结束： 但是，如果结束标识值更改为Facebook上其他人发布的图像标识，则共享轮询问题将包括帖子中的图像： 此时，如果当前用户删除了民意调查并要求发布帖子，那么Facebook上其他人发布的图片也将被删除，OMG！ 利用PoC
换句话说，通过浏览查找其他人在Facebook上发布的图像编号ID，您可以使用该漏洞将其删除。以下是PoC视频的漏洞，视频只是替换为图片编号id，请仔细观看： http://v.youku.com/v_show/id_XMzE5MzEyMjc3Mg==.html 漏洞报告时间表 2017.11.3  03: 16 - 报告漏洞 2017.11.3  15: 25 - 漏洞分类 2017.11.3  16: 46 - 预修理 2017.11.5  15: 03 - 成功修复 2017.11.8  Facebook奖励我$ 10,000  *参考源：darabi，freebuf小编译云编译 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。