«Как взломать Facebook?» - один из самых популярных вопросов в Интернете. Многие из нас очень хотят взломать чей-то аккаунт в Facebook, но, очевидно, это нелегкая работа, по крайней мере для новичка.
В Интернете существует множество веб-сайтов, где вы можете найти множество инструментов и методов взлома Facebook, но большинство из них являются поддельными, а остальным требуется техническая экспертиза. Пожалуйста, остерегайтесь сайтов, большинство инструментов взламывают вашу учетную запись Facebook вместо целевого пользователя.
Если кто-то может взломать учетную запись Facebook, это означает, что у него есть уязвимость безопасности захвата учетной записи, затрагивающая FB. Они могут незаконно продать его на черном рынке за миллионы долларов. Они могут получить мгновенную известность и тысячи долларов в награду, если сообщат об уязвимости на законных основаниях с помощью программы вознаграждения за ошибки.
Что они получают, делясь методом онлайн, тоже бесплатно? Что они получают за создание бесплатного инструмента / программного обеспечения на его основе? Совершенно ничего.
Таким образом, бесплатные инструменты взлома, которые вы видите в Интернете, являются фальшивыми. Не тратьте свое драгоценное время на поиск таких хакерских инструментов.
Если все методы взлома FB требуют технической экспертизы, то почему многие люди взломали свой аккаунт?
Есть несколько методов, таких как фишинг, которые можно легко сделать с помощью ресурсов, доступных в Интернете. Вы можете узнать больше о таких методах взлома Facebook.
Кроме того, вы поймете, почему Facebook вознаградил меня 10 000 долларов США за взлом личных фотографий мобильного приложения Facebook с помощью уязвимости безопасности.
Вор не всегда может использовать ваш дверной проем, чтобы войти в дом. Точно так же хакеру может не понадобиться ваш пароль в любое время, чтобы взломать вашу учетную запись Facebook. На самом деле, в большинстве случаев пароль не требуется для взлома вашей учетной записи Facebook. Звучит странно? Было бы, если вы не были хакером
Хакеры не волшебники, которые используют трюки, чтобы закончить шоу. Они делают это трудным способом. Они проводят дневные и ночные исследования, чтобы найти уязвимость безопасности, влияющую на Facebook. Взломать учетную запись несложно, если у них есть уязвимость.
Мы рассмотрим некоторые методы взлома Facebook, обнаруженные в программе баунти-багов, которая могла позволить любому взломать любой аккаунт FB БЕЗ ПАРОЛЯ. Обратите внимание, что все методы, перечисленные здесь, исправлены командой Facebook, и это больше не работает. Но вы получите базовое представление о том, как хакеры могут взломать учетную запись, не зная действительного пароля. Проверьте ссылку, размещенную в каждом методе, если вы хотите просмотреть более подробную информацию.
1. Взломать любую учетную запись Facebook с помощью мобильного SMS
Эта уязвимость может позволить пользователю легко взломать учетную запись FB за доли секунды. Все, что вам нужно, это активный номер мобильного телефона. Этот недостаток существовал в конечной точке подтверждения номера мобильного телефона, где пользователи проверяют свой номер мобильного телефона.
Выполнение этой уязвимости очень просто. Мы должны отправить сообщение в следующем формате.
FBOOK для 32665 (для США)
Вы должны получить шорткод. Затем запрос на сервер FB с целевым идентификатором пользователя, шорткодом и несколькими другими параметрами мог бы помочь.
Запрос образца
Опубликовать /ajax/settings/mobile/confirm_phone.php
Ведущий: www.facebook.com
profile_id = <target_user_id> и код = <SHORT_CODE> & other_boring_parameters
Это оно. Отправка этого запроса на сервер Facebook с любыми пользовательскими файлами cookie может взломать целевой аккаунт. Ваш мобильный номер будет прикреплен к учетной записи FB целевого пользователя, как только вы получите ответ от сервера FB. Теперь вы можете инициировать запрос на сброс пароля, используя номер мобильного телефона, и легко взломать целевой аккаунт.
Эта уязвимость была обнаружена Джеком в 2013 году. Сотрудники службы безопасности FB исправили проблему довольно быстро и вознаградили его в размере 20 000 долларов США в рамках их программы вознаграждений.
2. Взломать любой аккаунт Facebook с помощью атаки грубой силы
Эта уязвимость грубой силы приводит к полному захвату аккаунта в FB, который был обнаружен Анандом в 2016 году. Facebook вознаградил его в размере 15 000 долларов США в рамках программы вознаграждения за ошибки.
Эта ошибка обнаружена в конечной точке сброса пароля Facebook. Всякий раз, когда пользователь забывает свой пароль, он может сбросить свой пароль, используя эту опцию, введя свой номер телефона или адрес электронной почты.
6-значный код будет отправлен пользователю, чтобы проверить, сделан ли запрос заинтересованным лицом. Затем пользователь может сбросить свой пароль, введя 6-значный код подтверждения.
Нельзя пробовать разные комбинации кода более 10-12 попыток, поскольку сервер FB временно заблокирует учетную запись для сброса пароля.
Ананд обнаружил, что mbasic.facebook.com и beta.facebook.com не смогли выполнить проверку грубой силы, что позволило злоумышленнику попробовать все возможности шестизначного кода.
Запрос образца
Опубликовать / восстановить / как / код /
Ведущий: mbasic.facebook.com
п = <6_digit_code> & other_boring_parameters
Испытание всех возможностей (перебор) шестизначного параметра (n = 123456) позволяет злоумышленнику установить новый пароль для любого пользователя FB. Это может быть достигнуто любым инструментом грубой силы, доступным онлайн.
3. Взлом любой учетной записи Facebook с помощью Brute Force Attack - 2
Арун обнаружил такую же уязвимость грубой силы в другом поддомене (lookaside.facebook.com) Facebook, который получил ему вознаграждение в 10 000 долларов от Facebook в 2016 году.
Первоначально они отклонили ошибку, заявив, что не могут ее воспроизвести. Уязвимость была принята только через несколько недель, и патч был выпущен, как только их команда безопасности смогла воспроизвести проблему.
И пример запроса выглядит так
Опубликовать / восстановить / как / код /
Ведущий: lookaside.facebook.com
п = <6_digit_code> & other_boring_parameters
Сценарий атаки точно такой же, как мы видели в предыдущем методе, и единственным отличием является доменное имя.
4. Взлом любой учетной записи Facebook с помощью мошенничества с использованием межсайтовых запросов.
Этот метод требует, чтобы жертва посетила ссылку на веб-сайт (в браузере, где жертва должна войти в Facebook), чтобы завершить хакерскую атаку.
Для тех из вас, кто не знает о атаках CSRF, читайте об этом здесь.
Существовал недостаток в требовании конечной точки адреса электронной почты Facebook. Когда пользователь запрашивает адрес электронной почты, на стороне сервера не выполнялась проверка того, какой пользователь делает запрос, таким образом, он позволяет запрашивать электронную почту в любой учетной записи FB.
Вам нужно получить URL претензии по электронной почте, прежде чем создавать страницу атаки CSRF. Для этого попробуйте изменить свой адрес электронной почты на адрес электронной почты, который уже используется для учетной записи FB. Затем вам будет предложено запросить адрес электронной почты, если он принадлежит вам.
Кнопка всплывающего окна с заявкой должна перенаправить вас на URL, который нам нужен, как только мы нажмем кнопку заявки
URL должен выглядеть так
У вас есть URL. Последнее, что нам нужно сделать, - это создать страницу, чтобы поместить URL-адрес в iframe и отправить его жертве.
Адрес электронной почты будет прикреплен к учетной записи жертвы в Facebook после перехода на URL-адрес. Это оно. Теперь вы можете взломать учетную запись жертвы на Facebook через опцию сброса пароля.
Эта уязвимость при захвате учетной записи CSRF была обнаружена Дэном Меламедом в 2013 году и была немедленно исправлена группой безопасности FB.
5. Взломать любой аккаунт Facebook с помощью CSRF - 2
Этот метод взлома аналогичен предыдущему, когда жертве необходимо зайти на сайт злоумышленника, чтобы атака сработала.
Эта уязвимость была обнаружена в конечной точке импортера контактов. Когда пользователь одобряет Facebook для доступа к книге контактов Microsoft Outlook, делается запрос к серверу FB, который, в свою очередь, добавляет электронное письмо к соответствующей учетной записи Facebook.
Это можно сделать с помощью параметра «Найти контакты» в учетной записи атакующего Facebook. Затем вы должны найти следующий запрос к серверу FB (используйте перехватывающий прокси-сервер, например, burp)
Тот же самый запрос GET может использоваться для выполнения атаки CSRF. Все, что вам нужно сделать, это вставить URL-адрес в iframe на странице атаки и поделиться ссылкой с жертвой.
Аккаунт жертвы может быть взломан, как только жертва заходит на страницу атаки.
Эта ошибка была обнаружена Josip в 2013 году и исправлена командой безопасности FB.
6. Взлом любых действий на аккаунте Facebook - обход CSRF
Эта уязвимость CSRF позволяет злоумышленнику полностью захватить учетную запись, а также имеет возможность выполнять любые действия, такие как определение страницы, размещение фотографии и т. Д. В учетной записи жертвы в анонимном режиме без взлома учетной записи.
Этот недостаток существовал в конечной точке менеджера объявлений. Пример запроса на учетную запись CSRF выглядит следующим образом
POST / ads / manage / home /? Show_dialog_uri = / settings / email / add / submit /? New_email = <attacker_email>
Все, что нужно сделать злоумышленнику, это создать страницу CSRF с формой для автоматической отправки запроса на публикацию в фрейме, когда жертва попадает на страницу. Электронная почта злоумышленника будет добавлена в аккаунт жертвы анонимно.
Затем злоумышленник может взломать учетную запись жертвы на Facebook, сбросив пароль.
Это было найдено Pouya Darabai в 2015 году и получило вознаграждение в размере 15 000 долларов США через программу вознаграждения за ошибки Facebook.
7. Взломать любую страницу Facebook, не будучи администратором
Этот метод взлома страницы Facebook был найден Аруном в 2016 году и получил за это вознаграждение в размере 16 000 долларов США.
Конечная точка бизнес-менеджера, используемая для назначения партнера, в этом случае была уязвимой. Изменение параметра идентификатора бизнес-актива партнера на идентификатор страницы позволило Аруну взломать любую страницу.
Запрос образца
POST / business_share / asset_to_agency /
Ведущий: business.facebook.com
parent_business_id = <business_id> & agency_id = <business_id> & ASSET_ID = <target_page_id>
Параметр Business ID должен быть присвоен бизнес-идентификатору злоумышленника, а параметр ID ресурса должен быть заменен идентификатором целевой страницы Facebook.
Вот и все. Теперь целевая страница должна принадлежать бизнесу. Атакующий может удалить существующих администраторов страницы, чтобы полностью захватить страницу Facebook.
8. Взлом личных фотографий пользователя Facebook
Эта уязвимость в частных фотографиях была обнаружена мной в 2015 году и получила вознаграждение в размере 10 000 долларов США в рамках их программы вознаграждений.
Что я имею в виду под частными фотографиями в первую очередь? Фотографии, которые у вас есть на мобильном телефоне и не опубликованы в Facebook, это те, которые я имею в виду, когда говорю частные фотографии.
В мобильном приложении по умолчанию есть функция синхронизации мобильных фотографий. Интересно, что эта функция была включена по умолчанию в некоторых мобильных телефонах.
Эта функция загружает ваши мобильные фотографии на сервер FB, но сохраняет их конфиденциальными, пока вы не опубликуете их вручную в Facebook.
Уязвимость в конечной точке, обрабатывающей эти личные фотографии, позволяет любому стороннему приложению просматривать / просматривать личные фотографии пользователя. Чтобы эта атака сработала, стороннее приложение должно иметь доступ к общедоступным фотографиям пользователя, только тогда оно может получить доступ к частным фотографиям.
Пример запроса к Graph API для доступа к личным фотографиям жертвы выглядит следующим образом
GET / me / vaultimages
Ведущий: graph.facebook.com
access_token = <victim_access_token>
Это оно. Ответ от конечной точки API должен содержать URL-адреса личных фотографий жертвы.
Facebook исправил проблему, добавив в белый список приложения, которые могут получить доступ к конечной точке vaultimages.
9. Взлом фотографий любого пользователя Facebook
Арул Кумар нашел способ удалить любую фотографию на Facebook в 2013 году, и они вознаградили его за работу за 12 500 долларов.
У Facebook есть функция, чтобы сообщить о фотографии владельцу, если кто-то хочет удалить фотографию. Владелец фотографии получает уведомление и ссылку для удаления фотографии, о которой кто-то сообщил.
Арул обнаружил, что функция создания отчетов о фотографиях на панели поддержки не проверяла идентификаторы владельца должным образом, поэтому он позволил ему заменить параметр идентификатора владельца на собственный идентификатор учетной записи Facebook, чтобы напрямую получить ссылку для удаления фотографии.
Затем злоумышленник может удалить фотографию с помощью полученной ссылки из эксплойта. Хуже всего в этой атаке является то, что жертва не будет знать, что фотография была удалена. Эта уязвимость полностью исправлена.
10. Взломать любые фото / видео альбомы любого пользователя Facebook
Эта уязвимость была обнаружена мной в 2015 году, что позволило мне записывать любые альбомы в Facebook. Альбомы с тысячами фотографий и видео могут быть удалены мгновенно без участия его владельца.
Graph API - это основной способ связи между сервером и собственными / сторонними приложениями. Узел Albums конечной точки Graph API был уязвим для небезопасной ссылки на объект, поэтому он позволял мне выдавать любой альбомный идентификатор пользователя для обработки удаления.
Пример запроса на удаление любого фотоальбома Facebook
POST / <album_id>
Ведущий: www.facebook.com
access_token = <top_level_facebook_access_token> и метод = удалить
Это может удалить альбом, указанный в параметре ID. Злоумышленник должен иметь разрешение на просмотр альбома для завершения атаки. Facebook исправил эту проблему, исправив конечную точку, чтобы разрешить только пользователям с привилегиями, и вознаградил меня в размере 12 500 долларов США за сообщение об уязвимости.
11. Взламывайте любые видео на Facebook
Пранав обнаружил уязвимость, которая позволяла ему удалять любые видео на Facebook без особых разрешений.
Facebook имеет возможность добавлять видео в комментарии к любому сообщению. Пранав обнаружил, что присоединение существующих комментариев к комментарию возможно, и удаление комментария может позволить нам легко удалить исходное видео.
Таким образом, злоумышленник должен попытаться отредактировать существующий комментарий к сообщению с чьим-либо идентификатором видео Facebook с помощью следующего API-запроса графика.
POST / <post_id> / comments? Attachment_id = <target_video_id>
Ведущий: graph.facebook.com
Целевое видео должно быть добавлено в комментарий. Теперь злоумышленник должен удалить комментарий, чтобы удалить исходное видео. Видео должно быть удалено через несколько секунд, как только комментарий будет удален.
Переведено специально для https://xss.pro
Перевёл https://xss.pro/members/187698/
оригинал https://thezerohack.com/hack-facebook-password
В Интернете существует множество веб-сайтов, где вы можете найти множество инструментов и методов взлома Facebook, но большинство из них являются поддельными, а остальным требуется техническая экспертиза. Пожалуйста, остерегайтесь сайтов, большинство инструментов взламывают вашу учетную запись Facebook вместо целевого пользователя.
Если кто-то может взломать учетную запись Facebook, это означает, что у него есть уязвимость безопасности захвата учетной записи, затрагивающая FB. Они могут незаконно продать его на черном рынке за миллионы долларов. Они могут получить мгновенную известность и тысячи долларов в награду, если сообщат об уязвимости на законных основаниях с помощью программы вознаграждения за ошибки.
Что они получают, делясь методом онлайн, тоже бесплатно? Что они получают за создание бесплатного инструмента / программного обеспечения на его основе? Совершенно ничего.
Таким образом, бесплатные инструменты взлома, которые вы видите в Интернете, являются фальшивыми. Не тратьте свое драгоценное время на поиск таких хакерских инструментов.
Если все методы взлома FB требуют технической экспертизы, то почему многие люди взломали свой аккаунт?
Есть несколько методов, таких как фишинг, которые можно легко сделать с помощью ресурсов, доступных в Интернете. Вы можете узнать больше о таких методах взлома Facebook.
Кроме того, вы поймете, почему Facebook вознаградил меня 10 000 долларов США за взлом личных фотографий мобильного приложения Facebook с помощью уязвимости безопасности.
Вор не всегда может использовать ваш дверной проем, чтобы войти в дом. Точно так же хакеру может не понадобиться ваш пароль в любое время, чтобы взломать вашу учетную запись Facebook. На самом деле, в большинстве случаев пароль не требуется для взлома вашей учетной записи Facebook. Звучит странно? Было бы, если вы не были хакером
Хакеры не волшебники, которые используют трюки, чтобы закончить шоу. Они делают это трудным способом. Они проводят дневные и ночные исследования, чтобы найти уязвимость безопасности, влияющую на Facebook. Взломать учетную запись несложно, если у них есть уязвимость.
Мы рассмотрим некоторые методы взлома Facebook, обнаруженные в программе баунти-багов, которая могла позволить любому взломать любой аккаунт FB БЕЗ ПАРОЛЯ. Обратите внимание, что все методы, перечисленные здесь, исправлены командой Facebook, и это больше не работает. Но вы получите базовое представление о том, как хакеры могут взломать учетную запись, не зная действительного пароля. Проверьте ссылку, размещенную в каждом методе, если вы хотите просмотреть более подробную информацию.
1. Взломать любую учетную запись Facebook с помощью мобильного SMS
Эта уязвимость может позволить пользователю легко взломать учетную запись FB за доли секунды. Все, что вам нужно, это активный номер мобильного телефона. Этот недостаток существовал в конечной точке подтверждения номера мобильного телефона, где пользователи проверяют свой номер мобильного телефона.
Выполнение этой уязвимости очень просто. Мы должны отправить сообщение в следующем формате.
FBOOK для 32665 (для США)
Вы должны получить шорткод. Затем запрос на сервер FB с целевым идентификатором пользователя, шорткодом и несколькими другими параметрами мог бы помочь.
Запрос образца
Опубликовать /ajax/settings/mobile/confirm_phone.php
Ведущий: www.facebook.com
profile_id = <target_user_id> и код = <SHORT_CODE> & other_boring_parameters
Это оно. Отправка этого запроса на сервер Facebook с любыми пользовательскими файлами cookie может взломать целевой аккаунт. Ваш мобильный номер будет прикреплен к учетной записи FB целевого пользователя, как только вы получите ответ от сервера FB. Теперь вы можете инициировать запрос на сброс пароля, используя номер мобильного телефона, и легко взломать целевой аккаунт.
Эта уязвимость была обнаружена Джеком в 2013 году. Сотрудники службы безопасности FB исправили проблему довольно быстро и вознаградили его в размере 20 000 долларов США в рамках их программы вознаграждений.
2. Взломать любой аккаунт Facebook с помощью атаки грубой силы
Эта уязвимость грубой силы приводит к полному захвату аккаунта в FB, который был обнаружен Анандом в 2016 году. Facebook вознаградил его в размере 15 000 долларов США в рамках программы вознаграждения за ошибки.
Эта ошибка обнаружена в конечной точке сброса пароля Facebook. Всякий раз, когда пользователь забывает свой пароль, он может сбросить свой пароль, используя эту опцию, введя свой номер телефона или адрес электронной почты.
6-значный код будет отправлен пользователю, чтобы проверить, сделан ли запрос заинтересованным лицом. Затем пользователь может сбросить свой пароль, введя 6-значный код подтверждения.
Нельзя пробовать разные комбинации кода более 10-12 попыток, поскольку сервер FB временно заблокирует учетную запись для сброса пароля.
Ананд обнаружил, что mbasic.facebook.com и beta.facebook.com не смогли выполнить проверку грубой силы, что позволило злоумышленнику попробовать все возможности шестизначного кода.
Запрос образца
Опубликовать / восстановить / как / код /
Ведущий: mbasic.facebook.com
п = <6_digit_code> & other_boring_parameters
Испытание всех возможностей (перебор) шестизначного параметра (n = 123456) позволяет злоумышленнику установить новый пароль для любого пользователя FB. Это может быть достигнуто любым инструментом грубой силы, доступным онлайн.
3. Взлом любой учетной записи Facebook с помощью Brute Force Attack - 2
Арун обнаружил такую же уязвимость грубой силы в другом поддомене (lookaside.facebook.com) Facebook, который получил ему вознаграждение в 10 000 долларов от Facebook в 2016 году.
Первоначально они отклонили ошибку, заявив, что не могут ее воспроизвести. Уязвимость была принята только через несколько недель, и патч был выпущен, как только их команда безопасности смогла воспроизвести проблему.
И пример запроса выглядит так
Опубликовать / восстановить / как / код /
Ведущий: lookaside.facebook.com
п = <6_digit_code> & other_boring_parameters
Сценарий атаки точно такой же, как мы видели в предыдущем методе, и единственным отличием является доменное имя.
4. Взлом любой учетной записи Facebook с помощью мошенничества с использованием межсайтовых запросов.
Этот метод требует, чтобы жертва посетила ссылку на веб-сайт (в браузере, где жертва должна войти в Facebook), чтобы завершить хакерскую атаку.
Для тех из вас, кто не знает о атаках CSRF, читайте об этом здесь.
Существовал недостаток в требовании конечной точки адреса электронной почты Facebook. Когда пользователь запрашивает адрес электронной почты, на стороне сервера не выполнялась проверка того, какой пользователь делает запрос, таким образом, он позволяет запрашивать электронную почту в любой учетной записи FB.
Вам нужно получить URL претензии по электронной почте, прежде чем создавать страницу атаки CSRF. Для этого попробуйте изменить свой адрес электронной почты на адрес электронной почты, который уже используется для учетной записи FB. Затем вам будет предложено запросить адрес электронной почты, если он принадлежит вам.
Кнопка всплывающего окна с заявкой должна перенаправить вас на URL, который нам нужен, как только мы нажмем кнопку заявки
URL должен выглядеть так
У вас есть URL. Последнее, что нам нужно сделать, - это создать страницу, чтобы поместить URL-адрес в iframe и отправить его жертве.
Адрес электронной почты будет прикреплен к учетной записи жертвы в Facebook после перехода на URL-адрес. Это оно. Теперь вы можете взломать учетную запись жертвы на Facebook через опцию сброса пароля.
Эта уязвимость при захвате учетной записи CSRF была обнаружена Дэном Меламедом в 2013 году и была немедленно исправлена группой безопасности FB.
5. Взломать любой аккаунт Facebook с помощью CSRF - 2
Этот метод взлома аналогичен предыдущему, когда жертве необходимо зайти на сайт злоумышленника, чтобы атака сработала.
Эта уязвимость была обнаружена в конечной точке импортера контактов. Когда пользователь одобряет Facebook для доступа к книге контактов Microsoft Outlook, делается запрос к серверу FB, который, в свою очередь, добавляет электронное письмо к соответствующей учетной записи Facebook.
Это можно сделать с помощью параметра «Найти контакты» в учетной записи атакующего Facebook. Затем вы должны найти следующий запрос к серверу FB (используйте перехватывающий прокси-сервер, например, burp)
Тот же самый запрос GET может использоваться для выполнения атаки CSRF. Все, что вам нужно сделать, это вставить URL-адрес в iframe на странице атаки и поделиться ссылкой с жертвой.
Аккаунт жертвы может быть взломан, как только жертва заходит на страницу атаки.
Эта ошибка была обнаружена Josip в 2013 году и исправлена командой безопасности FB.
6. Взлом любых действий на аккаунте Facebook - обход CSRF
Эта уязвимость CSRF позволяет злоумышленнику полностью захватить учетную запись, а также имеет возможность выполнять любые действия, такие как определение страницы, размещение фотографии и т. Д. В учетной записи жертвы в анонимном режиме без взлома учетной записи.
Этот недостаток существовал в конечной точке менеджера объявлений. Пример запроса на учетную запись CSRF выглядит следующим образом
POST / ads / manage / home /? Show_dialog_uri = / settings / email / add / submit /? New_email = <attacker_email>
Все, что нужно сделать злоумышленнику, это создать страницу CSRF с формой для автоматической отправки запроса на публикацию в фрейме, когда жертва попадает на страницу. Электронная почта злоумышленника будет добавлена в аккаунт жертвы анонимно.
Затем злоумышленник может взломать учетную запись жертвы на Facebook, сбросив пароль.
Это было найдено Pouya Darabai в 2015 году и получило вознаграждение в размере 15 000 долларов США через программу вознаграждения за ошибки Facebook.
7. Взломать любую страницу Facebook, не будучи администратором
Этот метод взлома страницы Facebook был найден Аруном в 2016 году и получил за это вознаграждение в размере 16 000 долларов США.
Конечная точка бизнес-менеджера, используемая для назначения партнера, в этом случае была уязвимой. Изменение параметра идентификатора бизнес-актива партнера на идентификатор страницы позволило Аруну взломать любую страницу.
Запрос образца
POST / business_share / asset_to_agency /
Ведущий: business.facebook.com
parent_business_id = <business_id> & agency_id = <business_id> & ASSET_ID = <target_page_id>
Параметр Business ID должен быть присвоен бизнес-идентификатору злоумышленника, а параметр ID ресурса должен быть заменен идентификатором целевой страницы Facebook.
Вот и все. Теперь целевая страница должна принадлежать бизнесу. Атакующий может удалить существующих администраторов страницы, чтобы полностью захватить страницу Facebook.
8. Взлом личных фотографий пользователя Facebook
Эта уязвимость в частных фотографиях была обнаружена мной в 2015 году и получила вознаграждение в размере 10 000 долларов США в рамках их программы вознаграждений.
Что я имею в виду под частными фотографиями в первую очередь? Фотографии, которые у вас есть на мобильном телефоне и не опубликованы в Facebook, это те, которые я имею в виду, когда говорю частные фотографии.
В мобильном приложении по умолчанию есть функция синхронизации мобильных фотографий. Интересно, что эта функция была включена по умолчанию в некоторых мобильных телефонах.
Эта функция загружает ваши мобильные фотографии на сервер FB, но сохраняет их конфиденциальными, пока вы не опубликуете их вручную в Facebook.
Уязвимость в конечной точке, обрабатывающей эти личные фотографии, позволяет любому стороннему приложению просматривать / просматривать личные фотографии пользователя. Чтобы эта атака сработала, стороннее приложение должно иметь доступ к общедоступным фотографиям пользователя, только тогда оно может получить доступ к частным фотографиям.
Пример запроса к Graph API для доступа к личным фотографиям жертвы выглядит следующим образом
GET / me / vaultimages
Ведущий: graph.facebook.com
access_token = <victim_access_token>
Это оно. Ответ от конечной точки API должен содержать URL-адреса личных фотографий жертвы.
Facebook исправил проблему, добавив в белый список приложения, которые могут получить доступ к конечной точке vaultimages.
9. Взлом фотографий любого пользователя Facebook
Арул Кумар нашел способ удалить любую фотографию на Facebook в 2013 году, и они вознаградили его за работу за 12 500 долларов.
У Facebook есть функция, чтобы сообщить о фотографии владельцу, если кто-то хочет удалить фотографию. Владелец фотографии получает уведомление и ссылку для удаления фотографии, о которой кто-то сообщил.
Арул обнаружил, что функция создания отчетов о фотографиях на панели поддержки не проверяла идентификаторы владельца должным образом, поэтому он позволил ему заменить параметр идентификатора владельца на собственный идентификатор учетной записи Facebook, чтобы напрямую получить ссылку для удаления фотографии.
Затем злоумышленник может удалить фотографию с помощью полученной ссылки из эксплойта. Хуже всего в этой атаке является то, что жертва не будет знать, что фотография была удалена. Эта уязвимость полностью исправлена.
10. Взломать любые фото / видео альбомы любого пользователя Facebook
Эта уязвимость была обнаружена мной в 2015 году, что позволило мне записывать любые альбомы в Facebook. Альбомы с тысячами фотографий и видео могут быть удалены мгновенно без участия его владельца.
Graph API - это основной способ связи между сервером и собственными / сторонними приложениями. Узел Albums конечной точки Graph API был уязвим для небезопасной ссылки на объект, поэтому он позволял мне выдавать любой альбомный идентификатор пользователя для обработки удаления.
Пример запроса на удаление любого фотоальбома Facebook
POST / <album_id>
Ведущий: www.facebook.com
access_token = <top_level_facebook_access_token> и метод = удалить
Это может удалить альбом, указанный в параметре ID. Злоумышленник должен иметь разрешение на просмотр альбома для завершения атаки. Facebook исправил эту проблему, исправив конечную точку, чтобы разрешить только пользователям с привилегиями, и вознаградил меня в размере 12 500 долларов США за сообщение об уязвимости.
11. Взламывайте любые видео на Facebook
Пранав обнаружил уязвимость, которая позволяла ему удалять любые видео на Facebook без особых разрешений.
Facebook имеет возможность добавлять видео в комментарии к любому сообщению. Пранав обнаружил, что присоединение существующих комментариев к комментарию возможно, и удаление комментария может позволить нам легко удалить исходное видео.
Таким образом, злоумышленник должен попытаться отредактировать существующий комментарий к сообщению с чьим-либо идентификатором видео Facebook с помощью следующего API-запроса графика.
POST / <post_id> / comments? Attachment_id = <target_video_id>
Ведущий: graph.facebook.com
Целевое видео должно быть добавлено в комментарий. Теперь злоумышленник должен удалить комментарий, чтобы удалить исходное видео. Видео должно быть удалено через несколько секунд, как только комментарий будет удален.
Переведено специально для https://xss.pro
Перевёл https://xss.pro/members/187698/
оригинал https://thezerohack.com/hack-facebook-password
Последнее редактирование: