安全研究人員Dan Melamed近日發現了一個Facebook平臺的嚴重漏洞，可以允許攻擊者完全控制任何賬號。

這個漏洞之所以被認為嚴重是因為它允許黑客悄悄的黑掉任何Facebook賬戶。Dan Melamed在他的博客中發表了這個漏洞，他指出黑客只要欺騙受害人訪問一段惡意exploit代碼，即可以重置其facebook密碼。

這個缺陷影響facebook ”claim email address”功能，當一個用戶試圖增加一個已在facebook注冊過的郵箱，他會有一個選項”claim it”，當用戶claim一個email地址，facebook不會檢查這個請求來源。

當一個用戶試圖發送請求至一個@hotmail.com郵箱時，他會請求以下鏈接：

https://www.facebook.com/support/openid/proxy_hotmail.php?appdata[fbid]=AQ3Tcly2XEfbzuCqyhZXfb8_hYHTnHPPd-CDsvdrLzDnWLpsKTMcaXtIzV0qywEwbPs

研究人員發現參數appdata[fbid]是加密后的郵件地址。Dan使用加密后的郵件地址funnyluv196@hotmail.com來進行概念性驗證。鏈接會重定向用戶到Hotmail的登錄頁面。

“你必須使用能夠和加密參數匹配的郵件地址登陸賬戶。一旦登陸后，你會收到最后一個鏈接，格式像下面這樣。”

https://www.facebook.com/support/openid/accept_hotmail.php?appdata=http://netsecurity.51cto.com/art/201307/%7B%22fbid%22%3A%22AQ3Tcly2XEfbzuCqyhZXfb8_hYHTnHPPd-CDsvdrLzDnWLpsKTMcaXtIzV0qywEwbPs%22%7D&code=a6893043-cf19-942b-c686-1aadb8b21026 ”

網頁源碼顯示郵件流程成功了。

SHAPE * MERGEFORMAT

Dan Melamed說利用的方法很簡單，而且能夠成功取決于下面兩個重要的條件：

1.鏈接會在三個小時左右過期，使得黑客可以有時間來利用它。

2.該鏈接可以被任意Facebook賬戶瀏覽，因為沒有對誰在進行請求做檢查。

為了讓受害者中招，黑客只需要以圖片或者iframe的方式在網頁中插入一個惡意地址(http://evilsite.com/evilpage.html)。

SHAPE * MERGEFORMAT

“一旦點擊了，郵件地址(在這個案例下是：funnyluv196@hotmail.com)會立刻被加到他們的Facebook賬戶中。受害者沒有接到任何郵件地址添加的通知。接下來黑客就可以用這個新添加的郵件地址重置受害者賬戶的密碼了，從而能夠完全控制他們的賬戶。”

這個漏洞已經被Facebook安全團隊確認修復，幸運的是該團隊對漏洞的響應都非常及時，包括Facebook最近的幾個漏洞。不同類型的黑客對Facebook這樣流行的社交平臺垂涎欲滴，因此滋生了各種各樣的針對它的網絡犯罪。

【編輯推薦】

1. Facebook爆出新的OAuth漏洞
2. Facebook病毒肆虐 竊取用戶銀行賬戶信息
3. 新Facebook木馬病毒又來了!
4. Facebook稱受漏洞影響六百萬用戶信息被泄露
5. 安卓版Facebook曝搜集用戶手機號：啟動文件就泄密

　　推薦閱讀

　　struts2最近量產漏洞分析

可能是由于溝通問題，導致struts2官方對我提交的S2-012漏洞名稱理解錯誤，漏洞描述為struts 2的某個示例應用出現漏洞，但是struts2是按照框架出現漏洞修補的。而這個s2-012竟然引發了一連串血案。其實發這篇文章，我>>>詳細閱讀

本文標題：Facebook的漏洞可讓攻擊者快速重置用戶賬戶密碼

地址：http://www.hnbrwh.com/anquan/buding/33848.html

 1/2    1