這篇文章的內容是通過一個簡單的不需要用戶交互的漏洞就能黑掉所有Facebook用戶的賬號，使得我能查看被黑用戶的信息、信用卡/儲蓄卡信息、個人照片等。Facebook確認了這個漏洞，在修復了這個漏洞的同時根據這個漏洞的嚴重性和影響程度而支付了我$15,000。

漏洞描述

如果用戶忘記賬號密碼，可以在 https://www.facebook.com/login/identify?ctx=recover&lwv=110輸入手機號碼/郵箱地址來進行密碼重置，之后Facebook會發送一個6位驗證碼到該手機或者郵箱中，通過輸入該驗證碼就能進行密碼重置。我嘗試在主站上進行6位驗證碼的爆破，但是會在10-12次失敗后被禁止操作。

于是我在beta.facebook.com和mbasic.beta.facebook.com嘗試同樣的爆破行為，發現這兩個地方沒有進行限制。我嘗試對我的賬號進行密碼找回(因為 Facebook有規定不能對其他用戶的賬號進行破壞)，并且成功的重置了我的密碼。

漏洞驗證視頻

在視頻中你可以看到，我能夠通過爆破發送給你的驗證碼來對你的密碼進行重置。

攻擊向量

POST /recover/as/code/ HTTP/1.1

Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

n參數為驗證碼的值，對這個參數進行爆破就能重置任意用戶的密碼。

最后想說一下：很簡單的一個漏洞就能控制所有用戶的賬號，并且Facebook卻給予了高額的獎金，足以說明該公司對安全的重視程度。這個漏洞是因為安全防范沒有統一造成的，通過統一入口點可能可以減少這種漏洞發生的概率，當然統一入口點也會帶來其他的問題，這些都需要開發者進行深度的考量，只有這樣才能將安全做到最極致。