本文介绍了我在Facebook上发现的任意帐户密码重置漏洞,它利用此漏洞在没有用户交互的情况下清除任何Facebook帐户。总的来说,漏洞非常简单,但影响和威胁更严重,最终我在Facebook上获得了15,...
本文介绍了我在Facebook上发现的任意帐户密码重置漏洞,它利用此漏洞在没有用户交互的情况下清除任何Facebook帐户。总的来说,漏洞非常简单,但影响和威胁更严重,最终我在Facebook上获得了15,000美元的赏金。
漏洞情况
该漏洞的原理是我可以获得任何其他用户的密码重置权限。只需重置密码,我就可以获得其他账户信息,FB支付区的借记卡信息,个人照片和其他私人信息。最终,Facebook确认了这个漏洞并做了快速修复。
漏洞分析
当Facebook用户忘记登录密码时,可以通过在以下“检索帐户”链接中输入个人移动电话号码或注册电子邮件来重置密码。
https://www.facebook.com/login/identify?ctx=recover&lwv=110
输入完成后,Facebook会向用户的手机或邮箱发送一个6位数的验证码,然后用户根据提示输入6位验证码,最后实现密码复位。
起初,我非常愚蠢地尝试在暴力
破解www.facebook.com上生成的6位数验证码,但在超过10次无效测试后,我自己的帐户被锁定并擦除。
之后,我继续在beta.facebook.com和mbasic.beta.facebook.com上播放。有趣的是,密码重置服务中的两个Facebook子域没有设置登录尝试次数的限制!
漏洞测试 - POC
我想,让我们对发送到帐户电话或电子邮件的6位验证码进行暴力测试。根据Facebook的漏洞披露策略,测试过程不会影响其他人的账号,所以过了一段时间,我用我自己的Facebook账号进行测试。
测试过程大致是这样的。在以下帐户恢复链接中,输入目标测试帐户的已注册移动电话号码或电子邮件地址:
https://beta.facebook.com/login/identify?ctx=recover&lwv=110
https://mbasic.beta.facebook.com/login/identify?ctx=recover&lwv=110
输入后,单击“搜索”,该链接将跳转到6位验证码确认页面。此时,请拔出BurpSuite并对要在页面上输入的6位验证码进行猛烈猜测。令我惊讶的是,在BurpSuite神器的帮助下,经过数字和一点时间的合理组合,我可以有效地找到目标测试帐户的6位数验证码!
最后,通过这个6位数的验证码,您可以有效地重置目标帐户密码,有效登录目标帐户,达到“恢复帐户”的目的,当然成功“黑掉”目标帐户,这很简单?很强大!没什么废话,一切都在PoC中:
视频演示
弱势请求方
POST/recover/as/code/HTTP/1.1
主机: beta.facebook.com
LSD=AVoywo13&安培; N=XXXXX
上述“n”参数中涉及的6位XXXXX验证码可以被猛烈猜测,并且可以有效地找到发送到测试目标账户的6位验证码,从而实现密码重置和登录目标账户。
漏洞披露流程
2016年2月22日向Facebook安全团队报告漏洞
2016年2月23日Facebook确认了该漏洞并完成了快速修复
2016年3月2日 Facebook以15,000美元的奖金奖励我
*参考源码:freecodecamp,FreeBuf小编译云编译
黑客业务列表介绍和一般分类:
类别:攻击入侵破解开发
1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量]
2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。
3:破解业务类:软件,加密文件,二次打包,脱壳等。
4:二次开发业务清单:软件二次开发,源代码二次开发等
5:其他业务订单:特洛伊木马[通过所有防病毒],远程控制,特殊软件等
备注:未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间,请在咨询前阅读:业务交易流程及相关说明
注意:仅接受正式业务,个人无权接受。收集此内容。