- PVSM.RU - https://www.pvsm.ru -
Независимый индийский специалист по безопасности Ананд Пракаш [Anand Prakash] обнаружил в социальной сети Facebook [1]неприятную уязвимость, позволявшую простым перебором подобрать пароль пользователя, и получить полный доступ в его аккаунт. В связи с серьёзностью уязвимости компания Facebook выплатила специалисту за ценную информацию $15000 по программе вознаграждения.
Ананд ради интереса исследовал форму восстановления пароля, во время использования которой на телефон или емейл, указанный пользователем, отправляется 6-значный код подтверждения. В обычном случае миллион комбинаций 6-значного кода перебрать не получится, поскольку страница блокирует попытки ввести неправильный код более 10 раз.
Однако, проверив форму восстановления пароля на сайтах beta.facebook.com и mbasic.beta.facebook.com, Ананд убедился, что на них программисты забыли выставить ограничения на ввод паролей. Эти сайты используются для бета-тестирования новых функциональностей, которые затем появляются на основном сайте.
В результате программисту удалось «взломать» собственный аккаунт, подобрав 6-значный код подтверждения (по правилам Facebook нельзя взламывать аккаунты других пользователей даже в исследовательских целях).
В простом HTTP-запросе
POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
менялся параметр n и последовательно подставлялись значения 6-значного кода. Всего через 10 дней после отправки сообщения в Facebook Ананд получил уведомление о начислении приза.
Награда нашла героя
Автор: SLY_G
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/uyazvimost/114514
Ссылки в тексте:
[1] обнаружил в социальной сети Facebook : http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-your-facebook.html
[2] Источник: https://geektimes.ru/post/272326/
Нажмите здесь для печати.