本文講述了我在facebook上發(fā)現(xiàn)的一個(gè)任意賬戶密碼重置漏洞，利用該漏洞無需用戶交互過程，就可以黑掉任何Facebook賬戶?？傮w來說，該漏洞非常簡(jiǎn)單，但影響和威脅嚴(yán)重度較高，最終我獲得了Facebook方面獎(jiǎng)勵(lì)的$15000美元賞金。

漏洞情況

該漏洞原理在于，我可以獲取任意其他用戶的密碼重置權(quán)限，通過簡(jiǎn)單地密碼重置操作，我就能獲取到其他賬戶的消息、FB支付區(qū)域的借記卡信息、個(gè)人照片等其它隱私信息。最終，F(xiàn)acebook確認(rèn)了該漏洞，并作出了迅速的修復(fù)措施。

漏洞分析

當(dāng)Facebook用戶忘記了登錄密碼之后，有一種方式就是，在以下’找回賬戶’的鏈接內(nèi)輸入個(gè)人手機(jī)號(hào)或注冊(cè)郵箱來重置密碼。

;lwv=110

完成輸入之后，F(xiàn)acebook會(huì)向用戶手機(jī)或郵箱發(fā)送一個(gè)6位數(shù)驗(yàn)證代碼，然后用戶根據(jù)提示輸入該6位數(shù)驗(yàn)證碼，最后實(shí)現(xiàn)密碼重置。

一開始，我非常笨地去嘗試暴力破解www.上生成的這個(gè)6位數(shù)驗(yàn)證碼，但在10多次無效測(cè)試后，我自己的賬戶就被鎖定了，擦。

之后，我就在beta.和mbasic.beta.上繼續(xù)搗鼓，有意思的是，這兩個(gè)Facebook的子域名站點(diǎn)在密碼重置服務(wù)中，竟然未設(shè)置限制登錄的嘗試次數(shù)！

漏洞測(cè)試-POC

我想，那就針對(duì)這個(gè)發(fā)向賬戶手機(jī)或郵箱的6位數(shù)驗(yàn)證碼做個(gè)暴力測(cè)試吧。按照Facebook的漏洞披露策略，測(cè)試過程不能對(duì)他人賬戶造成影響，于是呢，過了一會(huì)，我就用我自己的Facebook賬戶來進(jìn)行測(cè)試。

測(cè)試過程大致是這樣的，在以下賬戶找回鏈接內(nèi)，輸入目標(biāo)測(cè)試賬戶的注冊(cè)手機(jī)號(hào)或郵箱地址：

https://beta./login/identify?ctx=recover&lwv=110

https://mbasic.beta./login/identify?ctx=recover&lwv=110

輸入之后，點(diǎn)’搜索’，鏈接會(huì)跳轉(zhuǎn)到一個(gè)6位數(shù)驗(yàn)證碼的確認(rèn)頁面，此時(shí)，拉出BurpSuite，對(duì)該頁面中要輸入的6位數(shù)驗(yàn)證碼做暴力猜解。非常讓我意想不到的是，在BurpSuite神器的助力下，在合理范圍內(nèi)數(shù)字組合和稍許時(shí)間后，竟然能有效發(fā)現(xiàn)目標(biāo)測(cè)試賬戶的這個(gè)6位數(shù)驗(yàn)證碼！

最終，憑著這個(gè)6位數(shù)驗(yàn)證碼就能有效重置目標(biāo)賬戶密碼，有效登錄目標(biāo)賬戶，實(shí)現(xiàn)‘找回賬戶’目的，當(dāng)然也就成功地‘黑掉’了目標(biāo)賬戶，是不是很簡(jiǎn)單也很厲害！

存在漏洞的請(qǐng)求端

POST /recover/as/code/ HTTP

Host: beta.

lsd=AVoywo13&n=XXXXX

可對(duì)上面這個(gè)“n”參數(shù)涉及的6位XXXXX驗(yàn)證碼進(jìn)行暴力猜解，能有效發(fā)現(xiàn)發(fā)往測(cè)試目標(biāo)賬戶的6位驗(yàn)證碼，從而實(shí)現(xiàn)對(duì)目標(biāo)賬戶的密碼重置和登錄。

漏洞披露進(jìn)程

2016年2月22日 向Facebook安全團(tuán)隊(duì)上報(bào)漏洞

2016年2月23日 Facebook方面確認(rèn)漏洞并完成快速修復(fù)

2016年3月2日 Facebook向我獎(jiǎng)勵(lì)了$15,000美元賞金