Новости из Блогов Восстановление пароля к facebook или как угнать все аккаунты

Discussion in 'Мировые новости. Обсуждения.' started by ZodiaX, 8 Mar 2016.

  1. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    532
    Likes Received:
    301
    Reputations:
    46
    Discription:
    Когда пользователь, забыв пароль от facebook'a, решает его восстановить, он может воспользоваться функцией сброса пароля, указав в форме номер телефона или email,
    Code:
    https://www.facebook.com/login/identify?ctx=recover&lwv=110
    facebook в ответ пришлет 6-ти значный числовой код, который пользователь должен будет ввести для того чтобы установить новый пароль.
    При попытке брута 6-ти значного кода на домене www.facebook.com происходит блокировка после 10-12 неудачных попыток.
    При проверке на доменах beta.facebook.com и mbasik.beta.facebook.com такое ограничение отсутствует...

    Video POC:


    Как видно из видео, можно установить новый пароль, перебирая код который был отправлен на телефон или почту.

    Уязвимый запрос:
    Code:
    POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

    http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-your-facebook.html?m=1
     
    #1 ZodiaX, 8 Mar 2016
    akula, WRedMedia, grimnir and 1 other person like this.
  2. 50_Terabytes

    50_Terabytes Member

    Joined:
    16 May 2015
    Messages:
    179
    Likes Received:
    50
    Reputations:
    3
    баг все еще работает?
     
    #2 50_Terabytes, 11 Mar 2016
  3. 23napster23

    23napster23 New Member

    Joined:
    30 Nov 2015
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Нет конечно) Нашедшему заплатили 15 000$.
     
    #3 23napster23, 11 Mar 2016
  4. 50_Terabytes

    50_Terabytes Member

    Joined:
    16 May 2015
    Messages:
    179
    Likes Received:
    50
    Reputations:
    3
    Иногда такие баги стоят дороже чем какие-то 15к...
     
    #4 50_Terabytes, 12 Mar 2016
    lucifer-m likes this.
  5. Bombito

    Bombito New Member

    Joined:
    10 Apr 2016
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    неужели настройки безопасности не выставляются по умолчанию на любой проект?
     
    #5 Bombito, 15 Apr 2016
  6. akula

    akula Member

    Joined:
    15 Apr 2016
    Messages:
    12
    Likes Received:
    11
    Reputations:
    0
    Во дурак.. Я бы на его месте втихаря использовал.. Намного больше бы поднял.
    15k вообще не о чем - даже машину не купить.
     
    #6 akula, 15 Apr 2016
    lucifer-m, Dr.Strangelove, pravdaru and 1 other person like this.
  7. Раrаdох

    Раrаdох Elder - Старейшина

    Joined:
    30 Jan 2014
    Messages:
    80
    Likes Received:
    102
    Reputations:
    21
    Не стоит думать поверхностно. Ребята с facebook читают логи, и достаточно скоро они бы в любом случае прикрыли лавочку и ничего бы он не поднял.
    Однако, конечно, были варианты.
     
    #7 Раrаdох, 17 Apr 2016
  8. 50_Terabytes

    50_Terabytes Member

    Joined:
    16 May 2015
    Messages:
    179
    Likes Received:
    50
    Reputations:
    3
    какие логи? логи каждого аккаунта? их там почти 2 миллиарда, вы об этом не подумали? если бы это были логи фаервола, еще можно было бы задуматься, сервер ломают же. а тут просто 999999 http-запросов, отправленных с какого-то айпишника (или нескольких), но и в этом случае все они должны затеряться среди других запросов, система ежесекундно кучу таких обрабатывает, а тут какие-то работники решили многомиллионный дамп трафика поднять и посмотреть каждый пакет, идущий в их сеть - нет уж! этот баг могли бы заметить, но не через какие-то логи, а просто во время очередного внутрикорпоративного аудита. но до тех пор, можно было его использовать втихаря. наверное, я бы и сам не стал "продаваться", а поломал бы за деньги несколько крупных страниц (или обычных, для ревнивых супругов, чтобы сообщения прочитать), тем самым заработав значительно больше, чем мне они бы заплатили. может сочтете за наглость мои слова (15к как никак тоже деньги), но пацана конкретно наебали. при всей огромной прибыли, которую получает корпорация. может на работу его хоть пригласили?
     
    #8 50_Terabytes, 17 Apr 2016
  9. paranoy777

    paranoy777 Banned

    Joined:
    23 Jan 2016
    Messages:
    71
    Likes Received:
    24
    Reputations:
    10
    аналогичто инстаграмм через фейсбук восстанавливают)) создают копию страницы на фб или твиттере и с помощью нее востанавливают
     
    #9 paranoy777, 20 Apr 2016
  10. VKAPI

    VKAPI Member

    Joined:
    25 Nov 2011
    Messages:
    141
    Likes Received:
    71
    Reputations:
    0
    это бага аля 2000 года..
    Есть ещё и проще входы)) так что заряжайте мозги.. Фу такими читами пользоватся ..
     
    #10 VKAPI, 7 Nov 2017
  11. Alangile

    Alangile Banned

    Joined:
    28 Sep 2017
    Messages:
    106
    Likes Received:
    3
    Reputations:
    0
    Думаю сейчас это уже не актуально.
     
    #11 Alangile, 9 Nov 2017
(You must log in or sign up to post here.)
Loading...
Similar Threads - Восстановление пароля facebook
  1. CyberTro1n

    Ученые представили два новых экспериментальных способа восстановления зрения

    CyberTro1n, 9 Dec 2020, in forum: Мировые новости. Обсуждения.
    Replies:
    0
    Views:
    539
    CyberTro1n
    9 Dec 2020
  2. Solitude

    Facebook предлагает выбрать «доверенных людей» для восстановления пароля

    Solitude, 3 May 2013, in forum: Мировые новости. Обсуждения.
    Replies:
    0
    Views:
    941
    Solitude
    3 May 2013
  3. d3l3t3

    Простой метод восстановления забытого пароля в Windows 7

    d3l3t3, 30 May 2012, in forum: Мировые новости. Обсуждения.
    Replies:
    8
    Views:
    1,978
    Чакэ
    30 May 2012
  4. _GaLs_

    Изменения в системе восстановления пароля Icq

    _GaLs_, 13 Nov 2006, in forum: Мировые новости. Обсуждения.
    Replies:
    2
    Views:
    1,816
    freddi
    13 Nov 2006
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.