Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Na Facebooku można było zmienić hasło dowolnemu użytkownikowi – błąd warty $15 000
Całość okazała się niezmiernie prosta, wystarczyło znać adres e-mail lub nr telefonu podpięty pod konto ofiary:
The only condition would have been for the attacker to know the telephone number or email address associated with the target’s account.
Do resetu hasła na Facebooku wystarczy podanie 6 znakowego PINu (wysyłanego na nr telefonu lub e-mail), ale jak się można domyślić kilkukrotne podanie nieprawidłowego kodu kończy się blokadą… Ale nie na dwóch serwisach 'beta’, na których udało się zresetować hasło do 'normalnego’ konta na Facebooku.
Za zgłoszenie błędu Facebook wypłacił $15 000. Zastosowany brute-force na filmiku poniżej:
–ms
co to za soft na tym filmiku?
burp pro – jest nawet to tego opis na sekuraku :]
Dziekuje Sekuraku!
Mam pytanie, nie znam się zbyt dobrze na websec, ale nie wydaje mi się by było to jakieś mega osiągnięcie, jeżeli koleś walił brute force, pytanie ską znał pierwsze 3 cyfry ?
Pierwsze cyfry znał, bo kod dostał na maila (podatność testuje się wyłącznie na fejkowych, własnych kontach, aby zgarnąć nagrodę), a na cele pokazu nie będzie przecież milionem kombinacji leciał.
Najważniejszy fakt z demo to to, że aplikacja/serwer zezwala na tyle/nieograniczoną liczbę prób i zostało to jasno przedstawione.
Proste, żmudne, ale skuteczne.