プロのハッカーサービス、暗号解読連絡ポストjphk007@outlook.com

プロのハッカーサービス、暗号解読連絡ポストjphk007@outlook.com

どうやってFacebookのパスワードの弱点を発見して、Facebookのパスワードを解読して、ハッキングして、fbのパスワードを解読しますか

どうやってFacebookのパスワードの弱点を発見して、Facebookのパスワードを解読して、ハッキングして、fbのパスワードを解読しますか

 

プロのハッキング組織の暗号を解読するためには、電子メールjphk007@outlook.com『全天24*7在線為你サービス』に連絡してください

 

本文は、私がFacebook上で発見した任意のアカウントのパスワードのリセットのバグについて述べた。このバグを利用して、ユーザーの対話のプロセスを必要とせず、Facebookアカウントをブラックアウトすることができる。全体的には、このバグは単純だが、影響と脅威の重症度が高く、Facebookから$1万5千ドルの賞金を獲得した。

 

すき具合

 

この脆弱性の原理は、任意の他のユーザーのパスワードリセット権限を取得することができ、簡単にパスワードリセット操作を行うことで、他のアカウントのメッセージ、FB支払いエリアのデビットカード情報、個人写真などの他の秘匿情報を取得することができる。結局、フェイスブックはこの弱点を確認し、迅速な修復策を打ち出した。

 

 

 

 

 

 

バグ解析

 

Facebookユーザーがパスワードを忘れてしまうと、「口座を取り戻す」という以下のリンク内で個人の携帯電話番号を入力したり、メールアドレスを登録してパスワードをリセットする方法がある。

 

 

 

https://www.facebook.com/login/identify?ctx = recover&lwv = 110

 

 

 

入力が完了すると、Facebookは6桁のチェックコードをユーザーの携帯電話やメールボックスに送信し、ユーザーは提示に応じて6桁のチェックコードを入力し、パスワードのリセットを実現する。

 

 

 

壱から、私は愚かにも、www.facebook.comに生成されたこの6桁のチェックコードを解読しようとしたが、10回以上の無効テストを受けた後、自分のアカウントがロックされ、消去された。

 

 

 

その後、私はbeta.facebook.comとmbasic.beta.facebook.comに続き、面白いことに、この2つのFacebookサブドメインサイトはパスワードリセットサービスに、ログイン制限の試行回数を設けていない!

 

 

 

 

 

バグテスト-POC

 

アカウントの携帯電話やメールボックスに送られた6桁のチェックコードに対して、暴力テストをしようと思います。Facebookの弱点公表戦略によると、テストの過程は他人のアカウントに影響を与えないため、壱会を過ぎると、自分のFacebookアカウントを使ってテストを行った。

 

 

 

テストのプロセスは、以下のアカウントで連結内を探し、目的のテストアカウントの登録携帯電話番号またはメールアドレスを入力する:

 

 

 

https://beta.facebook.com/login/identify?ctx = recover&lwv = 110

 

 

 

https://mbasic.beta.facebook.com/login/identify?ctx = recover&lwv = 110

 

 

 

入力後,点「探索」,連結は6桁のチェックコードの1つのチェックページにジャンプし,その時点でBurpSuiteを引き出し,そのページに入力された6桁のチェックコードを暴力的に言い当てる。意外なことに、BurpSuite神器の力を借りて、合理的な範囲内の数字の組み合わせと少しの時間の後に、なんと効果的に目標のテストアカウントのこの6桁の検証コードを発見することができます!

 

 

 

 

 

 

 

最終的には、この6桁のチェックコードで、有効に目標口座のパスワードをリセットし、有効に目標口座を登録し、「口座を取り戻す」ことができます。もちろん、目標口座を「ブラックアウト」することにも成功しています。

 

 

 

バグのある要求先

 

POST /recover/as/code/ HTTP/1.1

 

 

 

ホスト:beta.facebook.com

 

 

 

lsd = avoywo13 & n = xxxxx

 

 

 

上の「n」パラメータに関連する6ビットXXXXX検証コードを暴力的に推測することができ、有効に試験対象の口座に送る6ビット検証コードを発見でき、それによって目標の口座に対するパスワードのリセットと登録を実現できる。

 

プロのハッキング組織の暗号を解読するためには、電子メールjphk007@outlook.com『全天24*7在線為你サービス』に連絡してください

 

バグ開示プロセス

 

2016年2月22日、Facebookセキュリティチームにバグを報告した

 

 

 

2016年2月23日にフェイスブック側がバグを確認し、迅速な修復を完了した

 

 

 

 

 

2016年3月2日、Facebookは私に$15,000ドルの賞金を奨励した

 

プロのハッキング組織の暗号を解読するためには、電子メールjphk007@outlook.com『全天24*7在線為你サービス』に連絡してください