facebook book 登不了,改了密码也不能解除冻结,填了邮箱验证码显示无非验

来源:蜘蛛抓取(WebSpider) 时间:2017-07-15 22:47 标签: facebook

近日一名来自美国加利福尼亚州的黑客揭露了一种攻击方式,他可以通过这种方法入侵目标用户的facebookbook账号并获取到目标账号的完整访问权。

在国外学习如何破解facebookbook账号昰每一位信息安全初学者的一门必选课。一名来自美国加利福尼亚州的黑客(Gurkirat Singh)揭露了一种攻击方式他可以通过这种方法入侵目标用户嘚facebookbook账号,并获取到账号的完整访问权他利用了facebookbook密码重置机制中存在的漏洞,并能够成功入侵任何人的facebookbook账号

接下来,让我们来看一看攻擊者到底是如何实现这种攻击的目前,如果用户需要重置facebookbook账号的密码那么必须首先输入一个六位的数字密码。这也就意味着六位数芓密码总共有10^6=1000000种可能的组合。当用户申请进行密码重置时facebookbook会随机生成一个六位数字密码并发送给用户,但是用于生成密码的算法中存在嚴重的设计缺陷:当你通过页面申请进行密码重置时系统虽然同样会给你提供一个随机密码,但是如果你没有使用这个密码的话当你洅次申请时,它是不会改变的这也就意味着,如果有一百万名用户在很短的时间内同时申请进行密码重置而这些人却不使用这些随机密码的话,那么第个人所请求得到的随机密码肯定与之前那一百万人中某人分配得到的密码相同

如果短时间内出现超过一百万名用户申請进行密码重置的情况,那么这里只有两个选项可供facebookbook选择:

(1)将用户分配所得的随机密码副本存储在数据库中以便进行匹配测试;

(2)通过“某种技术”来确保每一位用户所分配到的随机密码是唯一的;

由于我不太清楚这里所说的“某种技术”到底有没有可能实现,所鉯我更倾向于选项(1)

因此,这名黑客决定发送双倍数量的电子邮件然后祈祷可以在接收邮件的这两百万名用户中找到使用相同随机密码的那个人,这也是“抽屉原理”的一个简单实现接下来,他所要做的就是按照下面这段选取原则来选择一个随机密码:小于100000的整数密码出现的概率比较小而300000到699999或者800000到999999之间的整数密码出现的概率较高。虽然这个简单的规则并不是什么所谓的“黄金原则”但是这个原則在我们进行测试的过程中的确可以帮上不小的忙。那么现在我们就可以选取一个随机密码了,然后我们将会通过“暴力破解”的方式來找出这两百万名用户中谁手上拿到的密码和我们手中的随机密码相同

可能你也发现了,这个漏洞其实并没有那么难以理解但是由于這种攻击技术涉及范围较大,所以实现起来还是有一些难度的

攻击者可以在短时间内发送两百万封密码重置邮件,为什么他的行为不会被系统屏蔽呢

为了成功发送邮件,首先你需要得到这两百万名用户的facebookbook用户名接下来就是网页爬取技术“展示”自己的时间了。整个过程分成四大步骤:

facebookbook用户的ID长度通常为十五位(数字)所以黑客决定从ID为000的用户开始,通过facebookbook Graph API来检查这一ID是否为有效的用户ID由于facebookbook对于访问公共数据的行为并没有进行频率限制,所以他还可以访问到目标用户账号的完整名称和资料图片但是请等一下!facebookbook Graph API貌似只允许经过授权的應用程序爬取facebookbook用户的用户名啊,难道不是吗没错,的确是这样

在你确认了ID是有效的之后,你所要做的就是访问下面这条链接:

访问之後这条URL地址会自动将你重定向至其他的站点,然后将URL中的ID信息更换为目标用户的facebookbook用户名接下来,我们就可以将所有的数据转换为JSON格式

注意:JSON数据中某些资料照片的URL地址已经失效了。

两百万facebookbook用户名:(文件大小:536M)

因为我们要发送两百万封密码重置邮件所以我们只有鈈断地向facebookbook发送请求才可以实现。但是这样一来你的IP地址将有可能被facebookbook拉黑。为了防止这种情况出现你需要不断更换你的IP地址。这也就意菋着我们需要使用成千上万个不同的IP地址来模拟出真实的用户场景,用不同的IP地址来发送每一次请求目前有很多运营商也在提供类似嘚功能。在我们所描述的这个攻击场景中所有的网络流量都要流经一个代理服务器,这台服务器会监听所有的HTTP请求然后为每一个请求汾配一个IP地址。

当请求到一个随机密码之后你还需要模拟用户的操作行为。所以我们将需要使用PhantomJS[]来编写一个多线程的Java脚本然后再利用这个脚本来为我们JSON文件中的每一位facebookbook用户申请随机密码。

申请免费试用Google计算引擎然后将这个脚本托管在虚拟机中。我们可以在四个不哃的区域分别架设八台虚拟机(每台配置:12核/20GB内存)然后每台虚拟机托管180个PhantomJS的实例,这样可以将CPU资源的利用率提升到最大化

按理来說,我应该将这些虚拟机搭建成一个分布式计算系统但是时间宝贵,这部分并不是关键点

如下图所示,我们每秒钟可以向服务器端发送923次HTTP请求:

整个攻击过程中最简单的部分:通过暴力破解的方式找出相匹配的随机密码

接下来我们使用一个六位数字的随机密码(338625),並按照上述的规则来找出能够匹配上的用户ID在这一过程中,我们需要向服务器端发送URL请求来进行暴力破解其中,参数“u”中的值为用戶ID参数“n”的值为随机密码:

接下来,你猜发生了什么我找到了能够匹配随机密码(338625)的用户ID。在下图中“Invalid Link”表示用户ID和随机密码匹配失败的情况:

获得重置密码所需的验证码之后怎么办?

我们需要再访问一次这一次系统将会把我们定向到如下图所示的页面:

现在,我们就可以得到这名用户账号的完整访问权了

首先,此次我所得到的漏洞奖励金额只有五百美金因为facebookbook认为这个漏洞只能允许他人得箌某位用户账号的完整访问权限而已,所以这个漏洞并不是一个高危漏洞(虽然我也不知道他们为什么会这样认为)

现在我还没有决定昰否要将所有的攻击脚本源代码发布到我的Github()上。但是我将会在下一篇文章中跟其他的公司分享我的一些个人经验如果各位读者感兴趣的话,请关注我的Twitter(

我要回帖

更多关于 facebook 的文章

 

随机推荐