原文:[Responsible disclosure] How I could have hacked all Facebook accounts
作者:Anand Prakash
譯者:杰微刊兼職譯者張萬程
概要:
這篇文章是關于在Facebook上發現的一個簡單漏洞,該漏洞可能已經被用來入侵其他Facebook用戶的帳號,這種入侵不需要任何的用戶交互。只需要設置一個新密碼,我就有了訪問其他用戶的所有權限。我可以瀏覽聊天內容,從支付信息中查看信息卡和借記卡,個人照片等等。Facebook及時承認并修復了這個漏洞,考慮到漏洞的嚴重性和影響,Facebook還給了15,000美元獎勵。
說明:
如果一個用戶忘記了他在Facebook上的密碼,他可以在 https://www.facebook.com/login/identify?ctx=recover&lwv=110 上通過手機號碼或者郵箱地址來重置密碼,Facebook會向用戶填寫的手機號碼或者郵箱地址發送一個6位數字的驗證碼,使用這個驗證碼可以重新設置密碼。我曾經在 www.facebook.com 上嘗試暴力破解這個6位數字的驗證碼,但在10-12的失敗嘗試后被屏蔽。然后,我又在beta.facebook.com? 和 mbasic.beta.facebook.com查看是不是同樣的情況,非常有趣,我發現沒有密碼重置的次數限制。我嘗試破解我的帳號(根據Facebook的政策,你不能傷害任何其他用戶)并成功地為我的帳號設置了新密碼。我可以用新密碼登錄我的帳號。
視頻資料:https://youtu.be/U3Of-jF1nWo
從視頻中你可以看到,通過暴力破解我可以得到發到你手機或郵箱的驗證碼。
漏洞請求:
POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
暴力破解并成功得到“n"的值,我就可以為任何Facebook用戶設置新密碼。
獎賞:
披露時間表:
2016年2月22日:將報告發送給Facebook團隊;
2016年2月23日:經過我的最終驗證,漏洞已修復;
2016年3月2日:被授予15000美元獎勵。
