破解任意Facebook賬戶,fb密碼破解
壹位安全研究人員發現Facebook存在密碼重置漏洞,這意味著他完全能夠以暴力方式破解任意Facbook賬戶。
安全研究人員Anand Prakash已經發現了壹項影響到Facebook的密碼重置漏洞。這項關鍵性安全漏洞可能被攻擊者用於通過暴力攻擊方式破解任意Facebook賬戶。
“此篇博文探討壹項可能已經在Facebook上得到應用,無需任何用戶交互即可侵入其它用戶Facebook賬號的簡單漏洞。我能夠通過設置壹條新密碼獲得對其他用戶賬戶的完全訪問權。我能夠查閱其消息、支付選項已經綁定的信用卡/借記卡以及個人照片等等。Facebook公司承認這壹問題切實存在,對其進行了及時修復並基於該漏洞嚴重性與影響程度提供15000美元獎勵,”這位研究人員在博文中表示。
這項關鍵性缺陷源自Facebook網站beta頁面當中的“忘記密碼”請求。當用戶忘記自己的密碼內容,Facebook允許其通過“忘記密碼”流程重新取回賬戶。Facebook方面會向用戶的手機或者電子郵箱發出壹條6位驗證碼。在將該驗證碼輸入窗口後,大家就能夠訪問自己的Facebook賬戶並重置密碼。
用戶隨後提交該驗證碼以訪問自己的Facebook賬戶並重置密碼。
Prakash嘗試從上述Facebook忘記密碼流程當中找出安全漏洞。他試圖在“忘記密碼”窗口中以暴力破解方式窮舉這6位數字,並發現Facebook在將賬號鎖定之前允許用戶進行12次嘗試。
Prakash隨後又在Facebook beta測試頁面中進行了嘗試,即beta.facebook.com與mbasic.beta.facebook.com。他最終發現,這兩個Facebook beta測試頁面並沒有對嘗試次數做出限制。由於缺少限制手段,研究人員完全能夠對任何Facebook賬戶發動暴力破解。
這位研究員對該安全漏洞的說明如下:
POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
對該“n”值的成功破解允許Prakash為任意Facebook用戶設定新的密碼內容。
Prakash於2016年2月22日向Facebook方面報告了這項漏洞,而後者的安全團隊亦承認該漏洞的存在並於2月23日進行了修復。
Facebook公司向Prakash頒發了15000美元獎金,以下為這位安全專家發布的視頻影像:
留言列表
