- PVSM.RU - https://www.pvsm.ru -

Facebook заплатил $15000 за находку уязвимости, позволявшей менять пароль любого пользователя

Независимый индийский специалист по безопасности Ананд Пракаш [Anand Prakash] обнаружил в социальной сети Facebook [1]неприятную уязвимость, позволявшую простым перебором подобрать пароль пользователя, и получить полный доступ в его аккаунт. В связи с серьёзностью уязвимости компания Facebook выплатила специалисту за ценную информацию $15000 по программе вознаграждения.

Ананд ради интереса исследовал форму восстановления пароля, во время использования которой на телефон или емейл, указанный пользователем, отправляется 6-значный код подтверждения. В обычном случае миллион комбинаций 6-значного кода перебрать не получится, поскольку страница блокирует попытки ввести неправильный код более 10 раз.

Однако, проверив форму восстановления пароля на сайтах beta.facebook.com и mbasic.beta.facebook.com, Ананд убедился, что на них программисты забыли выставить ограничения на ввод паролей. Эти сайты используются для бета-тестирования новых функциональностей, которые затем появляются на основном сайте.

В результате программисту удалось «взломать» собственный аккаунт, подобрав 6-значный код подтверждения (по правилам Facebook нельзя взламывать аккаунты других пользователей даже в исследовательских целях).

В простом HTTP-запросе

POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

менялся параметр n и последовательно подставлялись значения 6-значного кода. Всего через 10 дней после отправки сообщения в Facebook Ананд получил уведомление о начислении приза.

image
Награда нашла героя

Автор: SLY_G

Источник [2]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/uyazvimost/114514

Ссылки в тексте:

[1] обнаружил в социальной сети Facebook : http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-your-facebook.html

[2] Источник: https://geektimes.ru/post/272326/