黑了Facebook账户,白帽子获一万五千美元的奖励

来源:互联网
更新时间:2016/12/9 11:10:27
责任编辑:鲁晓倩
字体:

这篇文章的内容是通过一个简单的不需要用户交互的漏洞就能黑掉所有Facebook用户的账号,使得我能查看被黑用户的信息、信用卡/储蓄卡信息、个人照片等。Facebook确认了这个漏洞,在修复了这个漏洞的同时根据这个漏洞的严重性和影响程度而支付了我$15,000。

漏洞描述

如果用户忘记账号密码,可以在 https://www.facebook.com/login/identify?ctx=recover&lwv=110输入手机号码/邮箱地址来进行密码重置,之后Facebook会发送一个6位验证码到该手机或者邮箱中,通过输入该验证码就能进行密码重置。我尝试在主站上进行6位验证码的爆破,但是会在10-12次失败后被禁止操作。

于是我在beta.facebook.com和mbasic.beta.facebook.com尝试同样的爆破行为,发现这两个地方没有进行限制。我尝试对我的账号进行密码找回(因为 Facebook有规定不能对其他用户的账号进行破坏),并且成功的重置了我的密码。

漏洞验证视频

在视频中你可以看到,我能够通过爆破发送给你的验证码来对你的密码进行重置。

攻击向量

POST /recover/as/code/ HTTP/1.1

Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

n参数为验证码的值,对这个参数进行爆破就能重置任意用户的密码。

最后想说一下:很简单的一个漏洞就能控制所有用户的账号,并且Facebook却给予了高额的奖金,足以说明该公司对安全的重视程度。这个漏洞是因为安全防范没有统一造成的,通过统一入口点可能可以减少这种漏洞发生的概率,当然统一入口点也会带来其他的问题,这些都需要开发者进行深度的考量,只有这样才能将安全做到最极致。

www.xue163.com true /5/59642.html report 1046 黑了Facebook账户,白帽子获一万五千美元的奖励,这篇文章的内容是通过一个简单的不需要用户交互的漏洞就能黑掉所有Facebook用户的账号,使得我能查看被黑用户的信息、信用卡/储蓄卡信息、个人照片等。Facebook确认了这个漏洞,在修复了这个漏洞的同时根据这个漏洞的严重性和影响程度而支付了我$15...
最近关注
首页推荐
热门图片
最新添加资讯
24小时热门资讯
Facebook账户facebook企业账户申请facebook账户facebook创建账户出错facebookfacebook账户被禁用如何注册facebook账户facebook账户被锁定facebook企业账户facebook账户被停用
精彩资讯
精彩推荐
热点推荐
真视界
精彩图片
社区精粹
关于本站 | 广告服务 | 手机版 | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2016 Xue163.com All Rights Reserved. 中国学网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号
荐闻 | 学网头条知识问答 | 装修 | 作业 | 荐闻 | 学网头条精彩微信 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 猎奇 | 精彩看点 | 图库 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 精彩微信 | 猎奇 | 精彩看点 | 图库编程 方案 信息windows方案windows answer文档机构教育文档问答中心IT编程数码信息解决方案信息中心IT科技