Sprawdź:
Pewien pentester zgarnął aż 20 000 dolarów od Facebooka w nagrodę za zgłoszenie błędu w ramach programu Bug Bounty. Błąd pozwalał w prosty sposób przejąć konto dowolnego użytkownika na Facebooku.
SMS z hasłem od Facebooka
Podatność znajdowała się w mechanizmie dowiązania numeru telefonu do konta na Facebooku. Skrypt
/ajax/settings/mobile/confirm_phone.php przyjmował dwie zmienne…
code — odpowiadającą za kod wysyłany SMS-em użytkownikowi w celu potwierdzenia, że dany numer rzeczywiście należy do niego
profile_id — ID profilu zalogowanego użytkownika
…ale pozwalał pod tę drugą podstawić ID profilu dowolnego użytkownika, co powodowało, że nasz numer telefonu dowiązywaliśmy do nieswojego konta.
Aby przejąć czyjeś konto należało więc:
Wysłać literę F pod numer telefonu Facebooka (w UK: 32665)
Spreparować żądanie HTTP do skryptu confirm_phone.php z otrzymanym SMS-em kodem i z ID profilu ofiary
Zainicjować “przypomnienie hasła” na koncie naszej ofiary wybierając przypomnienie via SMS
Facebook już załatał błąd.
info z niebezpiecznika
nic tylko luk szukać, ta była banalna, a ponad 60 tysięcy złotych to dobry prezent od fb
