文章概述这篇文章主要给大家介绍Facebook中所存在的严重漏洞。研究人员发现，攻击者可以利用这个漏洞来入侵其他用户的Facebook账号，而且攻击者甚至不需要与目标用户有任何形式的交互。值得注意的是，攻击者可以利用这个漏洞来为目标Facebook账户设置一个新的密码，从而获取到目标账户的完整访问权限。这样一来，攻击者就可以查看到目标账户中的所有信息了，包括账户中存储的用户信用卡或借记卡支付信息以及个人相册中的图片等等。Facebook的相关技术人员及时了解到了有关这一漏洞的详细信息，并且公司表示，考虑到这个漏洞的严重性以及给用户所带来的潜在影响，公司将会给予能够修复这个漏洞的人15000美金的奖励。漏洞描述如果Facebook的用户忘记了自己的登录密码，那么他就可以点击“重置密码”按钮来重新设置他的登录密码。在点击了重置选项之后，用户需要输入他的手机号码或者电子邮箱地址。页面URL地址为：/login/identify?ctx=recover&lwv=110填写了基本信息之后，Facebook会给用户刚刚所输入的手机或电子邮箱发送一个六位的数字验证码，然后用户才能重置账户的密码。我在实验过程中，曾尝试在页面上对这个六位数字验证码进行暴力破解，但是在进行了十次到十二次的尝试之后便被系统锁定了。然后，我便在以及mbasic.的页面上进行了相同的操作，但是我发现在上述这两个入口处却没有设置验证失败的错误次数限制。所以我决定拿自己的Facebook账号来进行实验，不出所料，我成功地重置了我账号的登录密码。这也就意味着，我可以使用这个新的密码来登录我的Facebook账户了。存在问题的请求信息：1234POST&/recover/as/code/&HTTP/1.1Host:&&lsd=AVoywo13&n=XXXXX所以，只要能够成功地暴力破解出验证码，任何人都可以重置Facebook用户的账户密码。奖励：漏洞披露时间轴：日：将漏洞信息提交给了Facebook开发团队。日：验证漏洞信息。日：获得了15000美金的奖励。本文由 360安全播报 翻译原文链接：http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-your-facebook.html长按二维码关注“安全张之家”！备注：本版所载内容全部来源于互联网，如有侵权，请联系版主，将立即删除！！安全张之家(zhang_informationSEC)　
　文章为作者独立观点，不代表大不六文章网立场
的最新文章
据网络安全公司flashpoint对美国断网事件的调查发现，黑客操控感染了恶意软件Mirai的物联网设备发起即使你的iPhone6S设置了六位数的密码，甚至还设置了touch ID，但我要告诉你的是：你的手机仍然能被瞄准信息安全行业的创投公司不少，比如永洲创投先后投资过微步在线、看雪社区，还有物联网安全的不少企业，在云服务PunkSPIDER是一款由PunkSCAN出品的大型WEB漏洞扫描器，我们利用它已经建立了一个稳定的扫描体Sucuri BLOG最近发布了2016年Q2季度被黑网站趋势报告（Website Hacked TrendEnSilo网络安全公司的研究团队发现了一个可以绕过Windows查杀机制的方法，可以Bypass所有Win上个月永洲创投合伙人陆一舟在接受采访的时候，就曾提到过针对看雪的投资。于是乎，看雪这两天也正式发布了消息：1小介绍Mooder是一款开源、安全、简洁、强大的（安全）团队内部知识分享平台，基于Django、全封闭保证私根据国外媒体的最新报道，信息安全公司InTheCyber的安全研究专家发现了一个严重的漏洞，这个漏洞或可影响想必大家都知道最近美国东海岸地区的网站遭遇了一次大规模的DDoS攻击，此次的攻击导致大量用户无法正常访问网站在这篇文章中，我将会对比三款单版计算机，并试图从中挑选一款最适合用来搭建渗透测试环境，并且价格大概能随着科技和经济的发展，人们的生活水平也在嗖嗖地往上窜。买个无人机来玩，是再正常不过的了。不过，今后你从2007年至今，有一位天才黑客少年令各大顶尖科技公司终日诚惶诚恐，他们深怕自己的产品在他的面前将会漏洞百出1.资讯-国内17岁“黑客”少年多次张贴“黑页”落网DDoS狮城又造孽，谁会是下一个倒霉蛋？城堡网 - 网络1.资讯-国内农业信息化领导小组会议强调促进信息化与农业现代化深度融合-中共中央网络安全和信息化领导小组办公前言之前看到一款俄罗斯黑阔写的的快捷方式下载木马并运行的生成工具（Shortcut Downloader），最令站长头疼的事莫过于自己的网站被黑。如果没有合适的安全措施，即便站长再怎么用心，也会失去网站的控制权。黑客近日，国外安全研究员Dimitrios Roussis和 Evangelos Apostoloudis 发现根据Net MarketShare的数据显示，2016年8月份Firefox浏览器占全球市场份额7.69%，1.资讯-国内农业信息化领导小组会议强调促进信息化与农业现代化深度融合-中共中央网络安全和信息化领导小组办公在 DuckDuckGo 和 VikingVPN 的资助下，QuarksLab 最近对开源加密软件 Vera随着物理网的普及，其安全性尤其重要，近日有国外黑客破解一台智能咖啡机，下面就一起来看一下吧。故事起因SPADE，一款安卓手机的后门控制工具，安全研究人员可以以此了解和研究安卓后门原理。首先，我们从网站www.相信你总会看到这样的新闻：又有大规模的数据泄露了、又有多少用户的信息被窃取了……随之而来的，是各种安全专家的这周末大家都在热议的事情就是，美国大半个互联网都瘫痪了，包括Twitter、GitHub、PayPal、Tu1.资讯-国内2.资讯-国外3.漏洞4.技术长按二维码关注“安全张之家”！备注：本版所载内容全部来源于互联网虽然现在网上有很多开源的软件可以帮助你解密那些存储在GoogleChrome浏览器中的密码，但是这些软件几乎1.资讯-国内王毅在“全球反恐论坛”第二次打击网络恐怖主义研讨会开幕式上发表主旨讲话-中共中央网络安全和信息Ruler是一款能够通过MAPI/HTTP协议与Exchange服务器交互的工具。其目的在于测试outloo这篇文章中，将会介绍如何利用 Metasploitable 2 上 Unreal IRCd service手机设置了指纹加密就一定安全吗？下面就一起来了解一下吧。指纹加密已成主流无论是正面、背面、侧面三种位置，还是近期，互联网上披露了有关“大量物联网设备存在弱口令漏洞”的相关情况。北京时间10月21日19:10
左在刚刚过去的2016杭州 · 云栖大会上，阿里云云盾 · 混合云安全解决方案首次亮相，标志着阿里云上的安全能长按二维码关注“安全张之家”！备注：本版所载内容全部来源于互联网，如有侵权，请联系版主，将立即删除1.资讯-国内2.资讯-国外3.漏洞4.安全技术长按二维码关注“安全张之家”！备注：本版所载内容全部来源于互10月10日，在为期3天的新加坡国际网络周（SICW）开幕式上，新加坡总理李显龙正式宣布了该国的网络安全策略概述近日，Proofpoint的安全研究专家们发现了一种基于附件的新型恶意软件传播方式。在安全人员所检测到的长按二维码关注“安全张之家”！备注：本版所载内容全部来源于互联网，如有侵权，请联系版主，将立即删除1业界新闻360涅槃团队提交修复苹果漏洞获第六次致谢 - 安全客 - 有思想的安全新媒体http://bob1Tbps！OVH遭遇史上最大DDoS攻击；360女黑客发现Firefox高危漏洞获奖4000美元；联想安全诚意招聘，没啥条条框框，你有料！你就来！；绿盟科技——巨人背后的专家 多个华为产品远程格式字符串漏洞(CVE-)长按二维码关注“安全张之家”！备注：本版所载内容全部来源于互联网，如有侵权，请联系版主，将立即删除长按二维码关注“安全张之家”！备注：本版所载内容全部来源于互联网，如有侵权，请联系版主，将立即删除长按二维码关注“安全张之家”！备注：本版所载内容全部来源于互联网，如有侵权，请联系版主，将立即删除1.资讯-国内振臂高呼英雄齐聚 百度安全推动西北生态建设黑客篡改数据 消费者低价网购租车卡被骗黑客与内鬼成偷1.资讯-国内地下黑客为报复银行不合作，一怒之下干了什么？ - 安全客 - 有思想的安全新媒体呵呵哒：执法部前言下面要介绍的恶意软件可以读取Android手机中其他app的文件元数据，例如文件的名称、大小、以及最后修1业界新闻——国内2业界新闻——国外3安全技术文中链接可以通过以下方式打开：长按--全选--搜索，三步即可阅1业界新闻——国内元心科技祝贺第三届国家网络安全宣传周开幕 _电子信息产业网http://yjs.cena.渗透测试是寻找能够用来攻击应用程序、网络和系统的漏洞的过程，其目的是检测会被黑客攻击的安全脆弱点。渗透测试可1业界新闻——国内明晨4点发起全面攻击？国内外多家大型企业收到“黑客恐吓信”_业界新闻_中国信息安全博士网搜zhang_informationSEC介绍信息安全的资讯、技术等热门文章最新文章zhang_informationSEC介绍信息安全的资讯、技术等原文：[Responsible disclosure] How I could have hacked all Facebook accounts译文由杰微刊兼职译者张万程翻译，杰微刊审校及发布&概要：这篇文章是关于在Facebook上发现的一个简单漏洞，该漏洞可能已经被用来入侵其他Facebook用户的帐号，这种入侵不需要任何的用户交互。只需要设置一个新密码，我就有了访问其他用户的所有权限。我可以浏览聊天内容，从支付信息中查看信息卡和借记卡，个人照片等等。Facebook及时承认并修复了这个漏洞，考虑到漏洞的严重性和影响，Facebook还给了15,000美元奖励。说明：如果一个用户忘记了他在Facebook上的密码，他可以在 /login/identify?ctx=recover&lwv=110 上通过手机号码或者邮箱地址来重置密码，Facebook会向用户填写的手机号码或者邮箱地址发送一个6位数字的验证码，使用这个验证码可以重新设置密码。我曾经在
上尝试暴力破解这个6位数字的验证码，但在10-12的失败尝试后被屏蔽。然后，我又在 &和 mbasic.查看是不是同样的情况，非常有趣，我发现没有密码重置的次数限制。我尝试破解我的帐号（根据Facebook的政策，你不能伤害任何其他用户）并成功地为我的帐号设置了新密码。我可以用新密码登录我的帐号。视频资料：https://youtu.be/U3Of-jF1nWo从视频中你可以看到，通过暴力破解我可以得到发到你手机或邮箱的验证码。漏洞请求：POST /recover/as/code/ HTTP/1.1 Host: lsd=AVoywo13&n=XXXXX暴力破解并成功得到“n&的值，我就可以为任何Facebook用户设置新密码。奖赏:披露时间表:日：将报告发送给Facebook团队；日：经过我的最终验证，漏洞已修复；日：被授予15000美元奖励。杰微刊旨在分享优质的内容。我们水平有限，但理想高远。也同样期待有理想的您对这个世界的贡献。欢迎任何目的的联系。欢迎关注我们杰微刊(gh_a)　
　文章为作者独立观点，不代表大不六文章网立场
的最新文章
分享这个为 全球Netflix成员提供电影和TV播放的应用是如何实现从源代码到服务部署的。揭秘Schemaless的架构深入探讨Schemaless 触发器的相关功能，以及我们如何让系统具备可伸缩性和容错性。分享这个为 全球Netflix成员提供电影和TV播放的应用是如何实现从源代码到服务部署的。分享这个为 全球Netflix成员提供电影和TV播放的应用是如何实现从源代码到服务部署的。揭秘Schemaless的架构揭秘Schemaless的架构在面试中脱颖而出是一种技巧，可以帮助你成为一个伟大的程序员。深入探讨Schemaless 触发器的相关功能，以及我们如何让系统具备可伸缩性和容错性。深入探讨Schemaless 触发器的相关功能，以及我们如何让系统具备可伸缩性和容错性。在面试中脱颖而出是一种技巧，可以帮助你成为一个伟大的程序员。在面试中脱颖而出是一种技巧，可以帮助你成为一个伟大的程序员。讲述Schemaless是如何形成的揭秘一个让我获得Facebook 15,000美元奖励的漏洞我们可以通过Spotify发的博文来估算Spolity可能需要赋给Google的账单。独家揭秘Quora是如何通过机器学习为答案排名并为读者和作者提供绝佳的用户体验的。深度解析生产环境中在JVM上运行的应用程序遭遇比较严重暂停的原因<已经在所有代码库中用SVG替换Octicons。这个变化主要发生在底层，你会立刻感受到SVG图标带来的好处。展示Airbnb如何利用数据去理解用户旅行体验的质量，特别是如何增加“净推荐值NPS”的价值。Quora已经完成了向支持HTTPS的全面过渡，成为不断增长的采用HTTPS网站家族的一员。简单介绍下打包的方法，以及我们的方法对性能的提高。聊一聊在我们构建可持续交付工作流时碰到的那些不稳定测试，以及我们是怎么解决它们的Quartz在集群环境下使用数据库锁，常规配置的作业在高负载下堆叠。批量模式可以改善性能，减少锁次数也会有所帮助。创始人分享Pinterest架构演化的传奇故事Stack Overflow巨大变化的背后是他们的不变的开放心态和做事风格为了更好地理解设计，你需要了解NGINX是如何工作的在Instagram上，当有趣的瞬间发生的一刻，我们就可以轻松地发现它。拳头公司工程师亲身讲述他们是如何优化代码的技术总监Cam Dunn对拳头公司是如何解决团队技术设计问题的博文让我们对SSL有了更多的认识CloudFlare打入中国市场面临的挑战和解决办法一年半以前，我们对使用 WordPress 构建网站所需要采用的技术和开发流程进行大范围的重新思考一个利用JSSE实现BIO模式的SSL协议通信的示例能让产品不失本色，同时还能创造新的梦想的策略，就是--从简单开始。如何能既保证开发速度，又维持代码的高质量，看看Quora的方法论。Unix哲学在抓取日志、设计数据库、分布式数据处理框架等各个方面的应用gh_aJust for Fun热门文章最新文章gh_aJust for Fun为什么我的账号莫名其妙被停用了？_facebook吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：155,759贴子：
为什么我的账号莫名其妙被停用了？收藏
票牛教你如何买到热门、便宜、真实的演出门票！
我第一次注册，就要讲账号被禁用，需要提供身份证。提供后现在又是被禁用！！怎么回事？？
我的也是，
因为你不够帅了
我的也是。
我也是刚注册好就这样了，
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或