攻击者透露如何入侵任何Facebook账户

入侵Facebook账户是当今互联网用户的主要问题之一。很难找到—；如何入侵Facebook账户，但一名印度黑客刚刚做到了。

 

 

来自印度的Facebook赏金猎人阿南德·普拉卡什最近发现了一个密码重置漏洞，这是一个简单但严重的漏洞，可能会让攻击者有无限的机会暴力破解6位代码并重置任何帐户的密码。

 

该漏洞实际上存在于Facebook的测试域处理“忘记密码”请求的方式中。

Facebook允许用户通过密码重置程序更改其帐户密码，方法是通过电子邮件或短信接收6位数字的密码来确认其Facebook帐户。

 

为了确保用户的真实性，Facebook允许账户持有人在账户确认码被屏蔽之前尝试多达12个代码，因为暴力保护限制了大量尝试。

 

然而，Prakash发现这家社交媒体巨头在测试版网站的密码重置过程中没有实施限速。

 

Prakash试图在Facebook测试版的“忘记密码”窗口中强行输入6位代码，结果发现Facebook没有设置任何限制测试版页面的尝试次数。

罪魁祸首是：

 

正如Prakash所解释的，测试版页面中易受攻击的POST请求是：

蛮力逼迫N“通过设置新密码，成功允许Prakash对任何Facebook账户发起暴力攻击，完全控制任何账户。

 

Prakash（@sehacure）于2月发现了该漏洞，并于2月22日向Facebook报告。第二天，社交网络解决了这个问题，并向他支付了费用15000美元作为奖励考虑到脆弱性的严重性和影响。