ZodiaX
08.03.2016, 01:13
Discription:
Когда пользователь, забыв пароль от facebook'a, решает его восстановить, он может воспользоваться функцией сброса пароля, указав в форме номер телефона или email,
Code:
https://www.facebook.com/login/identify?ctx=recover&lwv=110
facebook в ответ пришлет 6-ти значный числовой код, который пользователь должен будет ввести для того чтобы установить новый пароль.
При попытке брута 6-ти значного кода на домене www.facebook.com (http://www.facebook.com) происходит блокировка после 10-12 неудачных попыток.
При проверке на доменах beta.facebook.com и mbasik.beta.facebook.com такое ограничение отсутствует...
Video POC:
Как видно из видео, можно установить новый пароль, перебирая код который был отправлен на телефон или почту.
Уязвимый запрос:
Code:
POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-your-facebook.html?m=1
Когда пользователь, забыв пароль от facebook'a, решает его восстановить, он может воспользоваться функцией сброса пароля, указав в форме номер телефона или email,
Code:
https://www.facebook.com/login/identify?ctx=recover&lwv=110
facebook в ответ пришлет 6-ти значный числовой код, который пользователь должен будет ввести для того чтобы установить новый пароль.
При попытке брута 6-ти значного кода на домене www.facebook.com (http://www.facebook.com) происходит блокировка после 10-12 неудачных попыток.
При проверке на доменах beta.facebook.com и mbasik.beta.facebook.com такое ограничение отсутствует...
Video POC:
Как видно из видео, можно установить новый пароль, перебирая код который был отправлен на телефон или почту.
Уязвимый запрос:
Code:
POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-your-facebook.html?m=1