رفتن به مطلب
انجمن تیم امنیتی گارد ایران

ارسال های توصیه شده

Prakash, محقق امنیت انفورماتیک مستقل در هندوستان,


اسیب پذیری امنیتی ای در فیسبوک یافته که میتواند برای هک اسان و بدون هیچگونه تعامل کاربر استفاده گردد.


این باگ در ریست رمز عبورهای فیسبوک میباشد.


 مراحل ریست رمز عبور فیسبوک ساده است و کافی است که در صفحه کانکشن ان


در سمت راست بالای صفحه روی “رمز عبور فراموش شده” کلیک شده


و ادرس ایمیل و شماره تلفن و نام کامل و یا نام کاربری مربوط به اکانت وارد شده و سپس روی جستجو کلیک کرد.


در اینزمان یک سری دستورات به کاربر که باید انها را دنبال کند داده میشود.


سپس کاربر یک کد شش رقمی با اس ام اسی به ادرسش دریافت میکند که باید انرا در فرم ریست رمز عبور وارد کند


تا بتواند رمز عبور جدیدی برای خود تعیین نماید.


anand-prakash-ethical-hacker.jpg


اما مشکل در این است که برخلاف سایت اصلی facebook.com هیچگونه محدودیتی روی سایت بتای فیسبوک و یا beta.facebook.com و mbasic.beta.facebook.com


که برای کاربرانی است که مایلند قابلیتهای جدید شبکه را تجربه کنند وجود ندارد.


Anand Prakash با استفاده از یک اسکریپت توانسته حمله brute-force روی پلاتفرم تست انجام داده


و همه ترکیبهای ممکن این شش رقم را ازمایش کند.


بعد از ریست رمز عبور پلاتفرم تست وی سپس برای ازمایش انرا در مورد حساب کاربری خود استفاده نموده


و نتیجه موفقیت امیز بوده است.وی میگوید : “این اسیب پذیری, دسترسی کامل من به حساب کاربری سایر کاربران را با تعیین رمز عبوری جدید میسر ساخت. من میتوانستم همه پیامها و اطلاعات مربوط به کارتهای پرداختی ذخیره شده 


در بخش پرداخت و تمام تصاویر خصوصی و غیره انها را ببینم.”


وی سپس انرا روی سایت اصلی استفاده نموده اما بعد از ۱۰/۱۲ رمز عبور غیر معتبر دسترسی بطور خودکار مسدود شده است.


Anand Prakash این باگ را در ۲۲ فوریه به اطلاع فیسبوک رسانده و فیسبوک انرا تائید و فردای همانروز انرا اصلاح کرده است


و ۱۵۰۰۰ دلار پاداش نیز برای این کشف به Anand Prakash پرداخته است.


 

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

انجمن تیم امنیتی گارد ایران

تیم امنیتی گارد ایران یک گروه مستقل است که قوانین آن با خط مشی جمهوری اسلامی ایران مغایرت ندارد. تیم امنیتی گارد ایران از سال 1393 فعالیت خود را آغاز کرد و هدف این تیم تامین امنیت سایت ها و سرورهای ایرانی است. تیم ما همیشه برای دفاع از مرزهای سایبری سرزمین عزیزمان ایران آماده است.

شبکه های اجتماعی

×
×
  • اضافه کردن...