文章概述
这篇文章主要给大家介绍Facebook中所存在的严重漏洞。研究人员发现,攻击者可以利用这个漏洞来入侵其他用户的Facebook账号,而且攻击者甚至不需要与目标用户有任何形式的交互。值得注意的是,攻击者可以利用这个漏洞来为目标Facebook账户设置一个新的密码,从而获取到目标账户的完整访问权限。这样一来,攻击者就可以查看到目标账户中的所有信息了,包括账户中存储的用户信用卡或借记卡支付信息以及个人相册中的图片等等。Facebook的相关技术人员及时了解到了有关这一漏洞的详细信息,并且公司表示,考虑到这个漏洞的严重性以及给用户所带来的潜在影响,公司将会给予能够修复这个漏洞的人15000美金的奖励。
漏洞描述
如果Facebook的用户忘记了自己的登录密码,那么他就可以点击“重置密码”按钮来重新设置他的登录密码。在点击了重置选项之后,用户需要输入他的手机号码或者电子邮箱地址。
页面URL地址为:https://www.facebook.com/login/identify?ctx=recover&lwv=110
填写了基本信息之后,Facebook会给用户刚刚所输入的手机或电子邮箱发送一个六位的数字验证码,然后用户才能重置账户的密码。我在实验过程中,曾尝试在www.facebook.com页面上对这个六位数字验证码进行暴力破解,但是在进行了十次到十二次的尝试之后便被系统锁定了。
然后,我便在beta.facebook.com以及mbasic.beta.facebook.com的页面上进行了相同的操作,但是我发现在上述这两个入口处却没有设置验证失败的错误次数限制。所以我决定拿自己的Facebook账号来进行实验,不出所料,我成功地重置了我账号的登录密码。这也就意味着,我可以使用这个新的密码来登录我的Facebook账户了。
大家可以从上面这段演示视频中看到,首先我对发送至用户手机或电子邮箱中的六位数字验证码进行了暴力破解,然后我就可以重置用户Facebook账号的登录密码了。
存在问题的请求信息:
POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX所以,只要能够成功地暴力破解出验证码,任何人都可以重置Facebook用户的账户密码。
奖励:
漏洞披露时间轴:
2016年2月22日:将漏洞信息提交给了Facebook开发团队。
2016年2月23日:验证漏洞信息。
2016年3月2日:获得了15000美金的奖励。
发表评论
您还未登录,请先登录。
登录