看我如何发现facebook密码重置漏洞获得$15000赏金(附poc)手机验证码

本文介绍了一个我在Facebook上发现的任意帐户密码重置漏洞。利用此漏洞可以在没有用户交互的情况下破解任何Facebook帐户。总体而言,该漏洞非常简单,但影响和威胁却很高,我最终在Facebook上获得了15,000美元的赏金。 漏洞情况

此漏洞的原理是我可以获得任何其他用户的密码重置权限。通过简单的密码重置操作,我可以从其他帐户获取消息,FB付款区域中的借记卡信息以及其他私人信息(例如个人照片)。 。最后,Facebook确认了该漏洞并进行了快速修复。

漏洞分析

当Facebook用户忘记了登录密码时,可以通过在“检索帐户”下面的链接中输入其个人手机号码或注册的电子邮件地址来重设密码。

https://www.facebook.com/login/identify?ctx=recover&lwv=110

输入完成后,Facebook会向用户的手机或电子邮件中发送一个6位数的验证码,然后用户根据提示输入6位数的验证码,最后重新设置密码。

刚开始时,我很愚蠢地试图强行使用www.facebook.com上生成的6位验证码,但是经过10多次无效测试后,我自己的帐户被锁定并清除了。

之后,我继续修改beta.facebook.com和mbasic.beta.facebook.com。有趣的是,这两个Facebook子域站点未对密码重置服务中的登录尝试次数设置限制!

漏洞测试-POC

我认为,然后对发送到帐户电话或电子邮件的6位验证码进行暴力测试。根据Facebook的漏洞披露策略,测试过程不会影响其他人的帐户,因此一段时间后,我使用了自己的Facebook帐户进行测试。

测试过程大致是这样的。在以下帐户恢复链接中,输入目标测试帐户的注册手机号码或电子邮件地址:

https://beta.facebook.com/login/identify?ctx=recover&lwv=110 https://mbasic.beta.facebook.com/login/identify?ctx=recover&lwv=110

输入后,点击“搜索”,链接将跳至包含6位数字的验证码的确认页面。这时,拔出BurpSuite,然后粗鲁地猜测要在此页面上输入的6位验证码。真正令我感到惊讶的是,在BurpSuite工件的帮助下,经过合理的数字组合和一点时间,我才能够有效地找到目标测试帐户的6位验证码!

最后,使用此六位数的验证码,可以有效地重置目标帐户密码,并可以有效地登录目标帐户,从而达到“恢复帐户”的目的。当然,目标帐户已成功“被黑客入侵”。很好!废话不多,一切都在PoC中:

视频演示

视频内容
存在漏洞的请求端

POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.com lsd=AVoywo13&n=XXXXX

可以猛烈猜测上面“ n”参数所涉及的6位XXXXX验证码,可以有效地找到发送到测试目标帐号的6位验证码,从而实现密码重置和目标帐号的登录。

漏洞披露进程

2016年2月22日向Facebook安全团队报告了漏洞2016年2月23日Facebook确认了该漏洞并完成了快速修复2016年3月2日,Facebook向我奖励了15,000美元的赏金

本文分享自微信公众号-FreeBuf(freebuf)

原始来源和转载的信息可以在文本中找到。如果有任何侵权,请联系yunjia_community@tencent.com将其删除。

原始发布时间:2018-03-24

本文参与了腾讯云自媒体共享计划。欢迎您阅读和分享。

脸书6位数安全验证码

联系他可以解决的哦

Facebook耐用号
Facebook持久

Facebook避免照片审查,如何取消阻止Facebook,Facebook上诉电子邮件
Facebook的照片审查解锁,如何解锁FB帐户,Facebook的照片审查最快
Facebook帐户在10秒内解锁,facebook帐户停用解锁,facebook广告帐户解锁

facebook管理员电子邮件,facebook管理员,facebook帐户已禁用
Facebook照片评论已畅通,fb评论照片无法登录,facebook照片评论需要多长时间
Facebook帐户突然被要求上传照片Facebook注册的照片审查Facebook的照片审查失败

Facebook无法接收登录验证码 Facebook没有收到验证码,有什么解决方案吗? 如何接收Facebook登录验证码 与Facebook绑定的手机号码已更改,如果没有收到验证码,我将无法登录 Facebook验证身份时未收到验证码。Facebook希望验证身份,但手机未收到验证码

Facebook六位数验证码未收到Facebook验证码突然收到Facebook验证码
facebook无法接收验证码facebook移动验证码facebook安全验证码
facebook朋友验证码facebook注册验证码facebook验证码无效

Facebook跳过电话验证
Facebook无法收到验证码
Facebook无法收到安全验证码

如何注册Facebook手机
Facebook跳过电话验证Facebook无法从Facebook接收验证码
Facebook无法收到安全验证码,为什么我不能收到Facebook验证码?

  • 答案是否定 ,人工智能,技术趋势下 干预确实已取代了大部分人力,使技术成为主要力量,而人力则成为辅助力量。机器审核+手动审核是目前效率最高的 建煌路。网络剑皇会被人工智能取代吗?

    来自:动态资讯
  • 互联网上各式各样 UGC信息丰富了互联网的精神生活,也为各种色情信息提供了机会。面对很多 黄色垃圾邮件,大型互联网公司大多自行开发 技术,但一些中小型企业面临技术和成本 压力,采取低效 手动审核机制。简Huang可能失业,而聪明的简has已成为趋势

    来自:动态资讯
  • 最近,网易Eidun的广告合规检测解决方案已经启动。它可以智能,高效地检测公司营销内容是否违反广告法律,并确保公司 广告内容合规性。智能检测营销合规性,网易盾发布广告合规性检测解决方案

    来自:动态资讯
  • 网易盾发布政府和企业网站解决方案,希望能祝福人工智能 网站内容风险监控,定期输出 风险检测报告,网站漏洞检测和7X24家政服务 违反风险。网易盾发布政府和企业网站安全解决方案

    来自:动态资讯
  • 亿盾商业风险控制每周报告每周报告值得关注 安全技术和事件,包括但不限于内容安全,移动安全,业务安全和网络安全 安全风险。 2月第四周的业务风险控制问题|印度禁止豆印,称豆腐导致该国年轻人“文化退化”

    来自:动态资讯
  • 游戏出现了插件,然后 或多或少的生命周期将受到某些 影响力,如传说。这里是一些曾经很著名但被一个活着的插件摧毁的清单 游戏。击败后,这些游戏仍被插件摧毁

    来自:动态资讯
  • 热更新意味着新用户可以重新启动客户端以实现客户端更新 要求或功能;或者您可以说:您可以实施新 要求和功能。热更新缩短了用户对新客户端的访问 改善用户体验的过程。 Unity热更新介绍和测试方法

    来自:动态资讯
  • DDoS 攻击 实现方法主要包括自建的DDoS平台和外包工具。对于大型企业,由于网络环境和业务规模庞大,DDoS清理架构不会采用单一 商业或自行开发的解决方案,但混合了自行开发,商业和公共云解决方案。 DDoS攻击和防御:从原理到实践(第2部分)

    来自:动态资讯
  • NetEase Shield已注册以在自动化模式下保护iOS访问自动化模式(推荐)SDK组件 访问过程:嵌入SDKinit:一旦初始化,就初始化SDK。 getToken:调用getToken接口以获取令牌,并且每次调用返回一个不同的值 注册保护,开发文档,SDK +服务器模式(推荐),前端iOS访问

    来自:帮助中心
  • 您在2017年“喝茶”了吗? 2017年内容安全十大事件

    来自:动态资讯

推荐阅读

tags

最新发布