专栏首页FreeBuf挖洞经验 | Facebook的手机扫码登录漏洞

挖洞经验 | Facebook的手机扫码登录漏洞

Facebook最近推出了忘记密码的手机登录功能,我发现该功能中的二维码扫描存在漏洞,可以利用其进行CSRF攻击,劫持其它Facebook账户。

当我的手机中跳出这个二维码扫描登录界面时,我就想尝试对它进行一些安全测试。首先,我就想到了利用在线服务 QrCode Decoder 来解码二维码信息,解码信息如下:

得出的对应登录链接为:

https://m.facebook.com/xdl/approve/?n=AYK8pQLRNK7UtXH77qI48xUnEHXb0rf2ySjUTHVjA6H-pU5gkI1JPYzit6wCp2z1tTNKZbXScD4MUshQuaP5M9H9j0e_x2ZK0ee9jkjLvv5-sQ&d=AYItt0ByoBCJEFQNGwike6sOHJyPJvDTCOruRgesi-7vvdIm4T3g22-FUW0f0Jph6gPYE3t10SddJ-rS7fg-z9VI&ext=1512136729&hash=AYKa_wmq-7CeeTac

打开该链接后提示成功登入:

在请求处理过程中,为了保证二维码信息不会过期,利用BurpSuite抓包并转发至repeater中进行测试,而当我把保存缓存token的fbdtsg值由 AQG8uIRB5b_U:AQHYfzdc7VMV 更改为 AQG8uIRB5b_U:AQHYfzdc7AB之后,服务端竟然还能有效接收!(因涉及隐私抱歉此处不上图--)

由此,我立马创建了一个CSRF格式请求:

哦,该请求被拒绝了:

经过对Facebook二维码机制作了了解,监测分析了所有请求流量,并对brainfuc*k编译语言进行学习之后,我才明白受害者只要第一次点击那个链接之后,Facebook服务器触发到二维码扫描功能,只有第二次点击才能实现CSRF攻击,因此,我把上述CSRF代码作了及时调整:

最终CSRF请求成功,在对3-4个账户间进行测试后,漏洞确定有效,这种方法可针对受害者在密码重置时进行攻击,从而实现账户劫持。

PoC视频: http://v.youku.com/v_show/id_XMzIyNzUxMDAwMA==.html

NND,向Facebook上报该漏洞后,经过3天多时间的等候,他们竟然说我的漏洞已经有人上报了,而且还不会给我任何奖励,唉,也没关系了,就当是练练手。

文章分享自微信公众号:
FreeBuf

本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!

作者:clouds
原始发表时间:2017-12-18
如有侵权,请联系 cloudcommunity@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • 二维码劫持原理及恶意行为分析

    之前看过其他的二维码登陆劫持漏洞,有的地方写的不是很详细,花了不少时间去研究二维码的原理,才弄懂漏洞。为了照顾更多入门新手,以本人的理解重新总结一遍,二维码登陆...

    FB客服
  • 一次从内网到外网,黑盒到白盒的批量挖洞经历

    前言:此次挖洞较为基础,分析得不足的地方望大佬指正。 内网挖洞: 建议像我这样入门不久的可以拿自己学校内网练练手先(得授权),再在在教育行业SRC等漏洞平台上挖...

    7089bAt@PowerLi
  • 高级白帽收入远超软件工程师平均薪资 | HackerOne 2018白帽黑客报告

    我们正身处一个黑客时代:他们有时被誉为英雄;有时也是媒体的每日话题,不时会被丑化;他们还是好莱坞青睐的形象,常常在影片中出镜。他们可以有任意一种面孔,但每一种,...

    FB客服
  • 积跬步,至千里,白帽积木的挖洞之路

    积跬步,至千里;积小流,成江海。作为一名白帽(道德黑客),积木用近4年时间从新手成长为MVP,他的挖洞之路正是一步一个脚印走出来的。

    FB客服
  • # 通知 |挖洞小密圈系统上线,功能介绍

    由于知识星球属于第三方,之前创建过几个都给封了,所以现在改为平台模式,最为主要的功能还是看“挖洞思路”文章,其它功能仅仅作为辅助。

    鸿鹄实验室
  • 看我如何发现Facebook密码重置漏洞获得$15000赏金(附POC)

    本文讲述了我在Facebook上发现的一个任意账户密码重置漏洞,利用该漏洞无需用户交互过程,就可以黑掉任何Facebook账户。总体来说,该漏洞非常简单,但影响...

    FB客服
  • 实战 | 记两个实战中遇见的逻辑漏洞

    http://***.test.com.cn/*/forgetPassword.html

    用户5878089
  • 走近科学:二维码真的安全吗

    二维码自普及以来,无论是从它的便捷性,还是其安全问题,一直都是公众关注的焦点问题。“码”时代来势迅猛,不可阻挡,似乎一夜之间,二维码即遍布各电商平台、商场、网站...

    FB客服
  • 如何获取Facebook用户的隐私好友列表

    当拥有个人信息的组织机构发生数据失窃或遭受未授权访问行为时,就可能发生用户信息泄露事件。通常来说,这是种安全事件会导致一些敏感受保护的机密数据被广泛流传、分析或...

    FB客服
  • 跨站的艺术:XSS Fuzzing 的技巧

    Fuzzing(模糊测试)是挖掘漏洞最常用的手段之一,对于每一种漏洞,都有其 Fuzzing 的技巧,XSS 也是如此,在这篇文章里我将根据自己的经验与一起大家...

    云鼎实验室
  • 记第一次漏洞挖掘

    第一次挖src 以前我很不自信 对于专属src想的都是 大厂的漏洞能有几个 就算有,好挖的也都被挖没了 不好挖的更是轮不到我这菜鸡。。

    用户2700375
  • 实战 | 记两个实战中遇见的逻辑漏洞

    http://***.test.com.cn/*/forgetPassword.html

    天钧
  • SRC逻辑漏洞挖掘浅谈

    巧用搜索引擎首推谷歌查看了解SRC旗下涉及到的业务,收集其对应的业务下的域名,再进一步进行挖掘,如:

    HACK学习
  • 实战 | 记两个实战中遇见的逻辑漏洞

    http://***.test.com.cn/*/forgetPassword.html

    7089bAt@PowerLi
  • DEFCON CHINA | 好奇心与探索,追求极客精神的本质

    期盼已久的 DEFCON CHINA 刚刚拉开帷幕,群里就开始讨论这样的话题,因为现场的黑客与极客是在太多了,说不定某个看起来普普通通的人现场小试牛刀,就破解掉...

    FB客服
  • 白帽子如何快速挖到人生的第一个漏洞 | 购物站点挖掘商城漏洞

    本文针对人群:很多朋友们接触安全都是通过书籍;网上流传的PDF;亦或是通过论坛里的文章,但可能经过了这样一段时间的学习,了解了一些常见漏洞的原理之后,对于漏洞挖...

    HACK学习
  • 电商篇——移动 APP 安全行业报告

    腾讯云安全
  • 【漏洞赏析】安全业务那些洞

    aerfa
  • 日常工作中收集的工具

    也着实帮助了一些朋友,工具也换的勤快,最早的xray破解脚本,现在不行了,可惜了。

    天钧

扫码关注腾讯云开发者

领取腾讯云代金券