這篇文章的內(nèi)容是通過一個(gè)簡(jiǎn)單的不需要用戶交互的漏洞就能黑掉所有Facebook用戶的賬號(hào)，使得我能查看被黑用戶的信息、信用卡/儲(chǔ)蓄卡信息、個(gè)人照片等。Facebook確認(rèn)了這個(gè)漏洞，在修復(fù)了這個(gè)漏洞的同時(shí)根據(jù)這個(gè)漏洞的嚴(yán)重性和影響程度而支付了我$15,000。

漏洞描述

如果用戶忘記賬號(hào)密碼，可以在 https://www.facebook.com/login/identify?ctx=recover&lwv=110輸入手機(jī)號(hào)碼/郵箱地址來進(jìn)行密碼重置，之后Facebook會(huì)發(fā)送一個(gè)6位驗(yàn)證碼到該手機(jī)或者郵箱中，通過輸入該驗(yàn)證碼就能進(jìn)行密碼重置。我嘗試在主站上進(jìn)行6位驗(yàn)證碼的爆破，但是會(huì)在10-12次失敗后被禁止操作。

于是我在beta.facebook.com和mbasic.beta.facebook.com嘗試同樣的爆破行為，發(fā)現(xiàn)這兩個(gè)地方?jīng)]有進(jìn)行限制。我嘗試對(duì)我的賬號(hào)進(jìn)行密碼找回(因?yàn)? Facebook有規(guī)定不能對(duì)其他用戶的賬號(hào)進(jìn)行破壞)，并且成功的重置了我的密碼。

漏洞驗(yàn)證視頻

<iframe src="http://v.qq.com/iframe/player.html?vid=u0187mh6q2x&tiny=0&auto=0" frameborder="0" width="500" height="450"></iframe>

在視頻中你可以看到，我能夠通過爆破發(fā)送給你的驗(yàn)證碼來對(duì)你的密碼進(jìn)行重置。

攻擊向量

POST /recover/as/code/ HTTP/1.1

Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

n參數(shù)為驗(yàn)證碼的值，對(duì)這個(gè)參數(shù)進(jìn)行爆破就能重置任意用戶的密碼。

最后想說一下：很簡(jiǎn)單的一個(gè)漏洞就能控制所有用戶的賬號(hào)，并且Facebook卻給予了高額的獎(jiǎng)金，足以說明該公司對(duì)安全的重視程度。這個(gè)漏洞是因?yàn)榘踩婪稕]有統(tǒng)一造成的，通過統(tǒng)一入口點(diǎn)可能可以減少這種漏洞發(fā)生的概率，當(dāng)然統(tǒng)一入口點(diǎn)也會(huì)帶來其他的問題，這些都需要開發(fā)者進(jìn)行深度的考量，只有這樣才能將安全做到最極致。