一位安全研究人员发现Facebook存在密码重置漏洞，这意味着他完全能够以暴力方式破解任意Facbook账户。

安全研究人员Anand Prakash已经发现了一项影响到Facebook的密码重置漏洞。这项关键性安全漏洞可能被攻击者用于通过暴力攻击方式破解任意Facebook账户。

“此篇博文探讨一项可能已经在Facebook上得到应用，无需任何用户交互即可侵入其它用户Facebook账号的简单漏洞。我能够通过设置一条新密码获得对其他用户账户的完全访问权。我能够查阅其消息、支付选项已经绑定的信用卡/借记卡以及个人照片等等。Facebook公司承认这一问题切实存在，对其进行了及时修复并基于该漏洞严重性与影响程度提供15000美元奖励，”这位研究人员在博文中表示。

这项关键性缺陷源自Facebook网站beta页面当中的“忘记密码”请求。当用户忘记自己的密码内容，Facebook允许其通过“忘记密码”流程重新取回账户。Facebook方面会向用户的手机或者电子邮箱发出一条6位验证码。在将该验证码输入窗口后，大家就能够访问自己的Facebook账户并重置密码。

用户随后提交该验证码以访问自己的Facebook账户并重置密码。

Prakash尝试从上述Facebook忘记密码流程当中找出安全漏洞。他试图在“忘记密码”窗口中以暴力破解方式穷举这6位数字，并发现Facebook在将账号锁定之前允许用户进行12次尝试。

Prakash随后又在Facebook beta测试页面中进行了尝试，即beta.facebook.com与mbasic.beta.facebook.com。他最终发现，这两个Facebook beta测试页面并没有对尝试次数做出限制。由于缺少限制手段，研究人员完全能够对任何Facebook账户发动暴力破解。

这位研究员对该安全漏洞的说明如下：

POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.comlsd=AVoywo13&n=XXXXX

对该“n”值的成功破解允许Prakash为任意Facebook用户设定新的密码内容。

Prakash于2016年2月22日向Facebook方面报告了这项漏洞，而后者的安全团队亦承认该漏洞的存在并于2月23日进行了修复。

Facebook公司向Prakash颁发了15000美元奖金，以下为这位安全专家发布的视频影像：

https://v.qq.com/txp/iframe/player.html?vid=z0187o789ul&width=500&height=375&auto=0

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒