黑了Facebook賬戶,白帽子獲一萬五千美元的獎勵

責(zé)任編輯:editor007

作者:老王隔壁的白帽子

2016-03-10 20:43:47

摘自:FreeBuf

這篇文章的內(nèi)容是通過一個簡單的不需要用戶交互的漏洞就能黑掉所有Facebook用戶的賬號,使得我能查看被黑用戶的信息、信用卡 儲蓄卡信息、個人照片等。

這篇文章的內(nèi)容是通過一個簡單的不需要用戶交互的漏洞就能黑掉所有Facebook用戶的賬號,使得我能查看被黑用戶的信息、信用卡/儲蓄卡信息、個人照片等。Facebook確認(rèn)了這個漏洞,在修復(fù)了這個漏洞的同時根據(jù)這個漏洞的嚴(yán)重性和影響程度而支付了我$15,000。

漏洞描述

如果用戶忘記賬號密碼,可以在 https://www.facebook.com/login/identify?ctx=recover&lwv=110輸入手機號碼/郵箱地址來進行密碼重置,之后Facebook會發(fā)送一個6位驗證碼到該手機或者郵箱中,通過輸入該驗證碼就能進行密碼重置。我嘗試在主站上進行6位驗證碼的爆破,但是會在10-12次失敗后被禁止操作。

于是我在beta.facebook.com和mbasic.beta.facebook.com嘗試同樣的爆破行為,發(fā)現(xiàn)這兩個地方?jīng)]有進行限制。我嘗試對我的賬號進行密碼找回(因為 Facebook有規(guī)定不能對其他用戶的賬號進行破壞),并且成功的重置了我的密碼。

漏洞驗證視頻

在視頻中你可以看到,我能夠通過爆破發(fā)送給你的驗證碼來對你的密碼進行重置。

攻擊向量

POST /recover/as/code/ HTTP/1.1

Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

n參數(shù)為驗證碼的值,對這個參數(shù)進行爆破就能重置任意用戶的密碼。

最后想說一下:很簡單的一個漏洞就能控制所有用戶的賬號,并且Facebook卻給予了高額的獎金,足以說明該公司對安全的重視程度。這個漏洞是因為安全防范沒有統(tǒng)一造成的,通過統(tǒng)一入口點可能可以減少這種漏洞發(fā)生的概率,當(dāng)然統(tǒng)一入口點也會帶來其他的問題,這些都需要開發(fā)者進行深度的考量,只有這樣才能將安全做到最極致。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號