Новость Как сбросить чужой пароль в Facebook

Тема в разделе "Новости и статьи IT безопасности", создана пользователем X-Shar, 9 мар 2016.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +968 / 152 / -29
    Jabber:
    Telegram:
    Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!



    Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!

    facebook-password1.

    Индийский исследователь Ананд Пракаш (Anand Prakash) обнаружил уязвимость в Facebook, которая позволяла сбросить пароль любому пользователю социальной сети. За обнаружение данной бреши компания выплатила исследователю $15 000.

    Теперь, когда уязвимость уже устранена, Пракаш рассказал, что обнаружил проблему 22 февраля 2016 года. Баг позволял бесконечно брутфорсить шестизначный код, необходимый для сброса пароля от аккаунта Facebook. Дело в том, что при запросе на восстановление забытого пароля, социальная сеть присылает пользователю email или SMS-сообщение с кодом подтверждения. У пользователя есть всего 10-12 попыток для ввода данного кода, после включается защита от брутфорса. Но Пракаш заметил, что эта защита не работает для бета-версий сайтов: beta.facebook.com и mbasic.beta.facebook.com. Здесь число попыток оказалось не ограничено, передает xakep.ru.

    Исследователь опубликовал proof-of-concept видео, демонстрирующее атаку в работе. Для реализации атаки нужно было знать только номер телефона или email жертвы. Пракаш использовал уязвимый POST-запрос lsd=AVoywo13&n=XXXXX для бета-страниц. Брутфорс «n» принес желанный результат.

    Также Пракаш пишет, что на устранение проблемы у специалистов Facebook ушел всего один день.
     
    • Мне нравится Мне нравится x 2
  2. ashoka Уважаемый пользователь
    ashoka
    Ответить в чате

    Форумчанин

    Регистрация:
    04.01.2013
    Сообщения:
    341
    Симпатии:
    1.001
    Пол:
    Мужской
    Репа:
    +1.003 / 0 / -2
    что у него за софт?
     
    • Мне нравится Мне нравится x 1
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +968 / 152 / -29
    Jabber:
    Telegram:
    Тоже интересно, незнаю, если кто знает напишите, может самописный ?Не въехал!!!Не въехал!!!Не въехал!!!
     
  4. ashoka Уважаемый пользователь
    ashoka
    Ответить в чате

    Форумчанин

    Регистрация:
    04.01.2013
    Сообщения:
    341
    Симпатии:
    1.001
    Пол:
    Мужской
    Репа:
    +1.003 / 0 / -2
    Вроде она Burp Suite

    Если будет/найдешь материал по ней; сделаешь гайд?) А то пока времени нет.
     
    • Мне нравится Мне нравится x 2
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +968 / 152 / -29
    Jabber:
    Telegram:
    Видяшку удалили, надо-было сюда на сервер залить...Dmeh-Smeh-Smeh!!!

    Про софт сейчас выложу небольшой обзорчик софта !
     
    • Мне нравится Мне нравится x 2
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +968 / 152 / -29
    Jabber:
    Telegram:
    В гугле куча инфы на русском, вот первоначальная настройка:Информация - Burp Suite:Анализ и эксплуатации уязвимостей на Web сайтах далее уже в зависимости от цели, инфу можно найти, в целом не сложно...
     
    • Мне нравится Мне нравится x 2
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +968 / 152 / -29
    Jabber:
    Telegram:
    • Мне нравится Мне нравится x 3

Поделиться этой страницей