视频:只需几步即可破解任意Facebook账户
一位安全研究人员发现Facebook存在密码重置漏洞,这意味着他完全能够以暴力方式破解任意Facbook账户。
安全研究人员Anand Prakash已经发现了一项影响到Facebook的密码重置漏洞。这项关键性安全漏洞可能被攻击者用于通过暴力攻击方式破解任意Facebook账户。
“此篇博文探讨一项可能已经在Facebook上得到应用,无需任何用户交互即可侵入其它用户Facebook账号的简单漏洞。我能够通过设置一条新密码获得对其他用户账户的完全访问权。我能够查阅其消息、支付选项已经绑定的信用卡/借记卡以及个人照片等等。Facebook公司承认这一问题切实存在,对其进行了及时修复并基于该漏洞严重性与影响程度提供15000美元奖励,”这位研究人员在博文中表示。
这项关键性缺陷源自Facebook网站beta页面当中的“忘记密码”请求。当用户忘记自己的密码内容,Facebook允许其通过“忘记密码”流程重新取回账户。Facebook方面会向用户的手机或者电子邮箱发出一条6位验证码。在将该验证码输入窗口后,大家就能够访问自己的Facebook账户并重置密码。
用户随后提交该验证码以访问自己的Facebook账户并重置密码。
Prakash尝试从上述Facebook忘记密码流程当中找出安全漏洞。他试图在“忘记密码”窗口中以暴力破解方式穷举这6位数字,并发现Facebook在将账号锁定之前允许用户进行12次尝试。
Prakash随后又在Facebook beta测试页面中进行了尝试,即beta.facebook.com与mbasic.beta.facebook.com。他最终发现,这两个Facebook beta测试页面并没有对尝试次数做出限制。由于缺少限制手段,研究人员完全能够对任何Facebook账户发动暴力破解。
这位研究员对该安全漏洞的说明如下:
POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.comlsd=AVoywo13&n=XXXXX
对该“n”值的成功破解允许Prakash为任意Facebook用户设定新的密码内容。
Prakash于2016年2月22日向Facebook方面报告了这项漏洞,而后者的安全团队亦承认该漏洞的存在并于2月23日进行了修复。
Facebook公司向Prakash颁发了15000美元奖金,以下为这位安全专家发布的视频影像:
https://v.qq.com/txp/iframe/player.html?vid=z0187o789ul&width=500&height=375&auto=0
E安全/文 转载请注明E安全
E安全——全球网络安全新传媒
E安全微信公众号: EAQapp
E安全新浪微博:EAQapp
E安全PC站点:
E安全客服&投稿邮箱:eapp@easyaq.com
点击下方”阅读原文“即可下载安装E安全app