DiepNV88
VIP Members
-
24/09/2013
-
369
-
1.552 bài viết
Hack tài khoản facebook chỉ với 1 tin nhắn
Bạn có thể không bao giờ tưởng tượng rằng một tin nhắn văn bản duy nhất cũng đủ để hack một tài khoản Facebook bất kỳ nào đó mà không cần tương tác người dùng hoặc không sử dụng bất kỳ công cụ độc hại khác như Trojans , phishing, keylogger …vvv
Nhà nghiên cứu bảo mật tại Anh , " fin1te " có thể hack bất kỳ tài khoản Facebook trong vòng một phút bằng cách thực hiện một tin nhắn SMS .
90% trong chúng ta là người sử dụng Facebook, Có một tùy chọn liên kết số điện thoại di động của bạn với tài khoản facebook , liên kết đó cho phép bạn nhận thông tin tài khoản Facebook qua tin nhắn SMS trực tiếp đến điện thoại di động của bạn và bạn cũng có thể đăng nhập vào tài khoản của bạn bằng cách sử dụng con số liên kết chứ không phải là địa chỉ email hoặc tên người dùng của bạn.
Theo hacker “fin1te”, Lỗ hổng này nằm trong file/ ajax / settings/ mobile / confirm_phone.php.Cái này có các thông số khác nhau nhưng có 2 mã chính là mã xác minh từ mobile và profile_id .
Các bước tiến hành tấn công của hacker:
-Gửi 1 tin nhắn tới số 32665 , đây là số của facebook tại nước Anh.Sau khi gửi tin sẽ nhận được mã xác thực gồm 8 ký tự.
Sau đó chúng ta điền code trên vào đây: https://www.facebook.com/settings?tab=mobile
Và thay đổi profile_id trong form thefbMobileConfirmationForm.
Submit yêu cầu và nhận được giá trị trả về 200 của trình duyệt.Bạn có thể thấy giá trị người dùng là khác so với profile_id vì nó đã được đã sửa đổi.Hình dưới:
Sau đó nhận được 1 tin nhắn SMS với mã xác nhận:
Bây giờ chúng ta có thể bắt đầu yêu cầu nhận lại mật khẩu người dùng qua mã xác nhận.
Một tin nhắn SMS khác nhận về với mã đặt lại:
Click vào link reset mật khẩu và chọn mật khẩu mới.
Với hình thức tấn công qua profile_id hacker có thể chiếm dụng được một tài khoản facebook bất kỳ của người sử dụng.
Để vá lỗ hổng này facekook cần không phản hổi các thông số profile_id từ người sử dụng.
Facebook đã trả cho hacker "fin1te" 20.000 $ khi phát hiện lỗ hổng bảo mật trên.
Theo hacker news và fin1te blog.
Nhà nghiên cứu bảo mật tại Anh , " fin1te " có thể hack bất kỳ tài khoản Facebook trong vòng một phút bằng cách thực hiện một tin nhắn SMS .
90% trong chúng ta là người sử dụng Facebook, Có một tùy chọn liên kết số điện thoại di động của bạn với tài khoản facebook , liên kết đó cho phép bạn nhận thông tin tài khoản Facebook qua tin nhắn SMS trực tiếp đến điện thoại di động của bạn và bạn cũng có thể đăng nhập vào tài khoản của bạn bằng cách sử dụng con số liên kết chứ không phải là địa chỉ email hoặc tên người dùng của bạn.
Theo hacker “fin1te”, Lỗ hổng này nằm trong file/ ajax / settings/ mobile / confirm_phone.php.Cái này có các thông số khác nhau nhưng có 2 mã chính là mã xác minh từ mobile và profile_id .
Các bước tiến hành tấn công của hacker:
-Gửi 1 tin nhắn tới số 32665 , đây là số của facebook tại nước Anh.Sau khi gửi tin sẽ nhận được mã xác thực gồm 8 ký tự.
Sau đó chúng ta điền code trên vào đây: https://www.facebook.com/settings?tab=mobile
Và thay đổi profile_id trong form thefbMobileConfirmationForm.
Submit yêu cầu và nhận được giá trị trả về 200 của trình duyệt.Bạn có thể thấy giá trị người dùng là khác so với profile_id vì nó đã được đã sửa đổi.Hình dưới:
Sau đó nhận được 1 tin nhắn SMS với mã xác nhận:
Bây giờ chúng ta có thể bắt đầu yêu cầu nhận lại mật khẩu người dùng qua mã xác nhận.
Một tin nhắn SMS khác nhận về với mã đặt lại:
Click vào link reset mật khẩu và chọn mật khẩu mới.
Với hình thức tấn công qua profile_id hacker có thể chiếm dụng được một tài khoản facebook bất kỳ của người sử dụng.
Để vá lỗ hổng này facekook cần không phản hổi các thông số profile_id từ người sử dụng.
Facebook đã trả cho hacker "fin1te" 20.000 $ khi phát hiện lỗ hổng bảo mật trên.
Theo hacker news và fin1te blog.
Chỉnh sửa lần cuối bởi người điều hành:
