能翻 墙就可以去注册有账号不能翻 墙也白搭
你对这个回答的评价是?
需要科学上网才能注册登陆facebook.com
你对这个回答的评价昰
|
本文讲述了我在facebook.com上发现的一个任意账户密码重置漏洞利用该漏洞无需用户交互过程,就可以黑掉任何facebook.com账户总体来说,该漏洞非常简单但影响和威胁严重度较高,最終我获得了facebook.com方面奖励的$15000美元赏金
该漏洞原理在于,我可以获取任意其他用户的密码重置权限通过简单地密码重置操作,我就能获取到其他账户的消息、FB支付区域的借记卡信息、个人照片等其它隐私信息最终,facebook.com确认了该漏洞并作出了迅速的修复措施。
当facebook.com用户忘记了登錄密码之后有一种方式就是,在以下’找回账户’的链接内输入个人手机号或注册邮箱来重置密码
完成输入之后,facebook.com会向用户手机或邮箱发送一个6位数验证代码然后用户根据提示输入该6位数验证码,最后实现密码重置
一开始,我非常笨地去尝试暴力破解上生成的这个6位数验证码但在10多次无效测试后,我自己的账户就被锁定了擦。
之后我就在和上继续捣鼓,有意思的是这两个facebook.com的子域名站点在密碼重置服务中,竟然未设置限制登录的尝试次数!
我想那就针对这个发向账户手机或邮箱的6位数验证码做个暴力测试吧。按照facebook.com的漏洞披露策略测试过程不能对他人账户造成影响,于是呢过了一会,我就用我自己的facebook.com账户来进行测试
测试过程大致是这样的,在以下账户找回链接内输入目标测试账户的注册手机号或邮箱地址:
输入之后,点’搜索’链接会跳转到一个6位数验证码的确认页面,此时拉絀BurpSuite,对该页面中要输入的6位数验证码做暴力猜解非常让我意想不到的是,在BurpSuite神器的助力下在合理范围内数字组合和稍许时间后,竟然能有效发现目标测试账户的这个6位数验证码!
最终凭着这个6位数验证码就能有效重置目标账户密码,有效登录目标账户实现‘找回账戶’目的,当然也就成功地‘黑掉’了目标账户是不是很简单也很厉害!废话不多说,一切尽在PoC中:
可对上面这个“n”参数涉及的6位XXXXX验證码进行暴力猜解能有效发现发往测试目标账户的6位验证码,从而实现对目标账户的密码重置和登录
注册成功了 按你提供的信息 自己登陆后更改下把 要采纳
我看下如果成功了有追赏啊谢谢~·
你对这个回答的评价是?
- -你翻不了墙要FB账号干嘛
我要玩游戏用~ ~所以求账号啊啊啊啊~·
你对这个回答的评价是
|