FaceBook漏洞可以获取任意账户电子邮件地址

2013-07-12 160093人围观 ,发现 6 个不明物体 资讯

在FaceBook上注册,除了用户名密码之外,还需要一个EMAIL,近日,国外安全研究员及PlayToWin创始人Stephen Sclafani公布了他发现的FaceBook的一个漏洞,通过该漏洞可以获取任意账户的电子邮件地址,并且获得了FaceBook奖励的3500美元。

如下图,Stephen Sclafani通过账户发送一封邀请注册的邮件,其中包含了点击注册的URL:

点击该网址后,用户将被重定向到一个注册页面,如下图:

注意地址栏的URL,其中包含两个参数“re”和“mid”,Stephen Sclafani发现修改参数可以公开另外一个用户的电子邮件地址。

http://www.facebook.com/r.php?re=245bf2da75118af20d917bdd34babddb&mid=59b63aG5af3107aba69G0G46

注意其中mid参数的值:59b63aG5af3107aba69G0G46

在上面的一段字符串里,用G作为分隔符,其中5af3107aba69对应的就是用户ID,更改该值可以查看到任意用户的EMAIL地址,攻击者可以编写一个自动脚本获取FaceBook的所有用户电子邮件地址,然后发送垃圾邮件或其他黑客攻击的目的。

thehacknews给出了编写自动化脚本的思路,如下:
1:获取FaceBook所有用户的目录,即:
http://www.facebook.com/directory/people/

2:收集Facebook用户的ID,可以通过Facebook公开的API提取:
http://graph.facebook.com/mohitkumar.thehackernews,可以看到用户ID为1251386282

3:修改存在漏洞的URL,将第二个G处修改为对应的ID:
http://www.facebook.com/r.php?re=245bf2da75118af20d917bdd34babddb&mid=59b63aG1251386282G0G46

4:通过脚本过滤页面,匹配电子邮件地址。

让我们再来回顾一下FaceBook的赏金计划,自2011年7月Facebook的赏金计划上线以来,已向几十个国家的百名黑客支付了赏金,金额超过了30万美元,最低奖金是500美元。

国内近年来,各漏洞提交平台也如雨后春笋一般成长了起来,越来越多的企业重视信息安全,虽然各平台对漏洞信息的奖赏可能还不能与黑市相比,在黑市上出售漏洞获利更多,这些漏洞被用作真正的黑客攻击而非防御性修复,但是从一定程度上也缩小了‘黑帽子黑客市场’的生存空间。

附国内各公司及第三方漏洞提交平台地址:

腾讯安全应急中心 http://security.tencent.com

网易安全中心    http://aq.163.com

京东安全应急响应中心    http://security.jd.com

百度安全响应中心    http://sec.baidu.com

360安全漏洞响应平台    http://vulreport.360.cn

人人安全应急响应中心    http://safe.renren.com/vul

乌云漏洞提交平台    http://www.wooyun.org

这些评论亮了

  • softbug (7级) 011101000110100001100001011011... 回复
    遇到一个腾讯的漏洞,我是应该提交到乌云还是提交到腾讯呢? 请各位大牛明示....
    )10( 亮了
发表评论

已有 6 条评论

取消
Loading...
css.php