原文:[Responsible disclosure] How I could have hacked all Facebook accounts
作者:Anand Prakash
譯者:杰微刊兼職譯者張萬程
概要:
這篇文章是關(guān)于在Facebook上發(fā)現(xiàn)的一個(gè)簡(jiǎn)單漏洞颈渊,該漏洞可能已經(jīng)被用來入侵其他Facebook用戶的帳號(hào)藕各,這種入侵不需要任何的用戶交互充易。只需要設(shè)置一個(gè)新密碼禁筏,我就有了訪問其他用戶的所有權(quán)限尽楔。我可以瀏覽聊天內(nèi)容投储,從支付信息中查看信息卡和借記卡,個(gè)人照片等等阔馋。Facebook及時(shí)承認(rèn)并修復(fù)了這個(gè)漏洞玛荞,考慮到漏洞的嚴(yán)重性和影響,F(xiàn)acebook還給了15,000美元獎(jiǎng)勵(lì)呕寝。
說明:
如果一個(gè)用戶忘記了他在Facebook上的密碼勋眯,他可以在 https://www.facebook.com/login/identify?ctx=recover&lwv=110 上通過手機(jī)號(hào)碼或者郵箱地址來重置密碼,F(xiàn)acebook會(huì)向用戶填寫的手機(jī)號(hào)碼或者郵箱地址發(fā)送一個(gè)6位數(shù)字的驗(yàn)證碼下梢,使用這個(gè)驗(yàn)證碼可以重新設(shè)置密碼客蹋。我曾經(jīng)在 www.facebook.com 上嘗試暴力破解這個(gè)6位數(shù)字的驗(yàn)證碼,但在10-12的失敗嘗試后被屏蔽孽江。然后讶坯,我又在beta.facebook.com? 和 mbasic.beta.facebook.com查看是不是同樣的情況,非常有趣岗屏,我發(fā)現(xiàn)沒有密碼重置的次數(shù)限制辆琅。我嘗試破解我的帳號(hào)(根據(jù)Facebook的政策,你不能傷害任何其他用戶)并成功地為我的帳號(hào)設(shè)置了新密碼这刷。我可以用新密碼登錄我的帳號(hào)婉烟。
視頻資料:https://youtu.be/U3Of-jF1nWo
從視頻中你可以看到,通過暴力破解我可以得到發(fā)到你手機(jī)或郵箱的驗(yàn)證碼暇屋。
漏洞請(qǐng)求:
POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
暴力破解并成功得到“n"的值似袁,我就可以為任何Facebook用戶設(shè)置新密碼。
獎(jiǎng)賞:
披露時(shí)間表:
2016年2月22日:將報(bào)告發(fā)送給Facebook團(tuán)隊(duì);
2016年2月23日:經(jīng)過我的最終驗(yàn)證昙衅,漏洞已修復(fù)屋彪;
2016年3月2日:被授予15000美元獎(jiǎng)勵(lì)。
