這篇文章的內(nèi)容是通過一個簡單的不需要用戶交互的漏洞就能黑掉所有Facebook用戶的賬號,使得我能查看被黑用戶的信息、信用卡/儲蓄卡信息、個人照片等。Facebook確認(rèn)了這個漏洞,在修復(fù)了這個漏洞的同時根據(jù)這個漏洞的嚴(yán)重性和影響程度而支付了我$15,000。
漏洞描述
如果用戶忘記賬號密碼,可以在 https://www.facebook.com/login/identify?ctx=recover&lwv=110輸入手機號碼/郵箱地址來進行密碼重置,之后Facebook會發(fā)送一個6位驗證碼到該手機或者郵箱中,通過輸入該驗證碼就能進行密碼重置。我嘗試在主站上進行6位驗證碼的爆破,但是會在10-12次失敗后被禁止操作。
于是我在beta.facebook.com和mbasic.beta.facebook.com嘗試同樣的爆破行為,發(fā)現(xiàn)這兩個地方?jīng)]有進行限制。我嘗試對我的賬號進行密碼找回(因為 Facebook有規(guī)定不能對其他用戶的賬號進行破壞),并且成功的重置了我的密碼。
漏洞驗證視頻
在視頻中你可以看到,我能夠通過爆破發(fā)送給你的驗證碼來對你的密碼進行重置。
攻擊向量
POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
n參數(shù)為驗證碼的值,對這個參數(shù)進行爆破就能重置任意用戶的密碼。
最后想說一下:很簡單的一個漏洞就能控制所有用戶的賬號,并且Facebook卻給予了高額的獎金,足以說明該公司對安全的重視程度。這個漏洞是因為安全防范沒有統(tǒng)一造成的,通過統(tǒng)一入口點可能可以減少這種漏洞發(fā)生的概率,當(dāng)然統(tǒng)一入口點也會帶來其他的問題,這些都需要開發(fā)者進行深度的考量,只有這樣才能將安全做到最極致。