一位安全研究人員發(fā)現(xiàn)Facebook存在密碼重置漏洞，這意味著他完全能夠以暴力方式破解任意Facbook賬戶。

　　安全研究人員Anand Prakash已經(jīng)發(fā)現(xiàn)了一項(xiàng)影響到Facebook的密碼重置漏洞。這項(xiàng)關(guān)鍵性安全漏洞可能被攻擊者用于通過暴力攻擊方式破解任意Facebook賬戶。

　　“此篇博文探討一項(xiàng)可能已經(jīng)在Facebook上得到應(yīng)用，無需任何用戶交互即可侵入其它用戶Facebook賬號的簡單漏洞。我能夠通過設(shè)置一條新密碼獲得對其他用戶賬戶的完全訪問權(quán)。我能夠查閱其消息、支付選項(xiàng)已經(jīng)綁定的信用卡/借記卡以及個(gè)人照片等等。Facebook公司承認(rèn)這一問題切實(shí)存在，對其進(jìn)行了及時(shí)修復(fù)并基于該漏洞嚴(yán)重性與影響程度提供15000美元獎(jiǎng)勵(lì)，”這位研究人員在博文中表示。

　　這項(xiàng)關(guān)鍵性缺陷源自Facebook網(wǎng)站beta頁面當(dāng)中的“忘記密碼”請求。當(dāng)用戶忘記自己的密碼內(nèi)容，F(xiàn)acebook允許其通過“忘記密碼”流程重新取回賬戶。Facebook方面會向用戶的手機(jī)或者電子郵箱發(fā)出一條6位驗(yàn)證碼。在將該驗(yàn)證碼輸入窗口后，大家就能夠訪問自己的Facebook賬戶并重置密碼。

　　用戶隨后提交該驗(yàn)證碼以訪問自己的Facebook賬戶并重置密碼。

　　Prakash嘗試從上述Facebook忘記密碼流程當(dāng)中找出安全漏洞。他試圖在“忘記密碼”窗口中以暴力破解方式窮舉這6位數(shù)字，并發(fā)現(xiàn)Facebook在將賬號鎖定之前允許用戶進(jìn)行12次嘗試。

　　Prakash隨后又在Facebook beta測試頁面中進(jìn)行了嘗試，即beta.facebook.com與mbasic.beta.facebook.com。他最終發(fā)現(xiàn)，這兩個(gè)Facebook beta測試頁面并沒有對嘗試次數(shù)做出限制。由于缺少限制手段，研究人員完全能夠?qū)θ魏蜦acebook賬戶發(fā)動暴力破解。

　　這位研究員對該安全漏洞的說明如下：

　　POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.comlsd=AVoywo13&n=XXXXX

　　對該“n”值的成功破解允許Prakash為任意Facebook用戶設(shè)定新的密碼內(nèi)容。

　　Prakash于2016年2月22日向Facebook方面報(bào)告了這項(xiàng)漏洞，而后者的安全團(tuán)隊(duì)亦承認(rèn)該漏洞的存在并于2月23日進(jìn)行了修復(fù)。

　　Facebook公司向Prakash頒發(fā)了15000美元獎(jiǎng)金，以下為這位安全專家發(fā)布的視頻影像：

　　https://v.qq.com/page/z/u/l/z0187o789ul.html

　　E安全/文 轉(zhuǎn)載請注明E安全

　　E安全——全球網(wǎng)絡(luò)安全新傳媒

　　E安全微信公眾號： EAQapp