الأربعاء، 18 سبتمبر، 2013

شرح ثغرة اختراق الفيسبوك من الجوال




للأسف هذه الثغرة تم ترقيعها من طرف الشركة لكن هذا مجرد شرح لألية عملها

ممكن نتخيل مع بعض سرقه اكاونت فيسبوك بمجرد ارسال SMS !!!

من غير ماترسل شيء للضحيه او Keylogger .. الخ !

اليوم ساشرح لكم كيف قام الباحث الامني fin1te في اكتشاف ثغره بسيطه جدا

مما تؤدي الى سرقة اي اكاونت فيسبوك

وقامت الشركة بتقديم مكافأه ماليه قدرها 20,000 $ لهذا الباحث 

الفيسبوك يتيح لك خيار لربط رقم هاتفك المحمول مع حسابك

هذا يسمح لك لتلقي التحديثات عبر SMS، ويعني أيضا

يمكنك تسجيل الدخول باستخدام رقم بدلا من عنوان البريد الإلكتروني الخاص بك

الثغره او لا نقول ثغره بل خطأ برمجي ، في هذا الملف

كود:
/ajax/settings/mobile/confirm_phone.php 
يوجد 2 بارمتر رئيسيات هما

verification code & profile_id

سوف يقوم بتغيير احد منهم وهو المسؤول عن الـ ID للشخص المٌستهدف

وطبعا كلنا بنعرف ازاي نحصل الـ ID 

والي مش عارف ممكن عن طريق

http://graph.facebook.com/username

إول خطوة سوف يقوم بارسال حرف ( F ) ألى الـ Facebook

وسوف تقوم شركة الفيسبوك بالرد عليك برقم التفعيل



نقوم بأدخال هذا الكود هنا :

https://www.facebook.com/settings?tab=mobile

وبعد ذلك نعدل على بارمتر الـ profile_id وهذا يكون من ضمن فورم fbMobileConfirmationForm



قام بتعديل profile_id للحساب الي حاب تغير باسوردو



ملاحظة: قد تضطر إلى reauth بعد تقديم الطلب، ولكن نفس باسوورد حسابك !

ثم استلام رسالة نصية قصيرة مع التأكيد



الآن يمكننا أن نطلب إعادة تعيين كلمة المرور للاكاونت المستهدف والحصول على رمز عبر الرسائل القصيرة

تلقي SMS آخر مع رمز إعادة تعيين



نحن ندخل هذا الرمز في النموذج ، واختيار كلمة مرور جديدة ، ونقول مبروووك

0 التعليقات:

إرسال تعليق

لا تنسى ان تشارك samir soltani بتعليقك
او نشر الموظوع جزاك الله خيرا