This post will demonstrate a simple

This post will demonstrate a simple bug which will lead to a full takeover of any Facebook account, with no user interaction. Enjoy.

Facebook gives you the option of linking your mobile number with your account. This allows you to receive updates via SMS, and also means you can login using the number rather than your email address.

The flaw lies in the /ajax/settings/mobile/confirm_phone.php end-point. This takes various parameters, but the two main are code, which is the verification code received via your mobile, andprofile_id, which is the account to link the number to.

The thing is, profile_id is set to your account (obviously), but changing it to your target’s doesn’t trigger an error.

To exploit this bug, we first send the letter F to 32665, which is Facebook’s SMS shortcode in the UK. We receive an 8 character verification code back.

0/5000

Từ: -

Sang: -

Kết quả (Việt) 1: [Sao chép]

Sao chép!

Bài đăng này sẽ chứng minh một lỗi đơn giản mà sẽ dẫn đến một tiếp quản đầy đủ của bất kỳ tài khoản Facebook, với không có tương tác người dùng. Thưởng thức.Facebook cung cấp cho bạn tùy chọn liên kết số điện thoại di động của bạn với tài khoản của bạn. Điều này cho phép bạn để nhận được cập nhật thông qua tin nhắn SMS, và cũng có nghĩa là bạn có thể đăng nhập bằng cách sử dụng số chứ không phải là địa chỉ email của bạn.Các lỗ hổng nằm ở cuối điểm /ajax/settings/mobile/confirm_phone.php. Điều này mất thông số khác nhau, nhưng chính hai mã, mã xác minh đã nhận được thông qua điện thoại di động, andprofile_id, đó là tài khoản để liên kết số để.Điều này là, profile_id được thiết lập tài khoản của bạn (rõ ràng), nhưng thay đổi nó đến mục tiêu của bạn không kích hoạt một lỗi.Để khai thác lỗi này, chúng tôi lần đầu tiên gửi thư F đến 32665, mà là của Facebook SMS shortcode ở Anh. Chúng tôi nhận được một mã xác minh 8 nhân vật trở lại.

đang được dịch, vui lòng đợi..

Kết quả (Việt) 2:[Sao chép]

Sao chép!

Bài này sẽ chứng minh một lỗi đơn giản mà sẽ dẫn đến một sự tiếp quản đầy đủ của bất kỳ tài khoản Facebook, không có tương tác người dùng. Thưởng thức. Facebook cung cấp cho bạn các tùy chọn liên kết số điện thoại di động của bạn với tài khoản của bạn. Điều này cho phép bạn để nhận thông tin qua SMS, và cũng có nghĩa là bạn có thể đăng nhập bằng số chứ không phải là địa chỉ email của bạn. Lỗ hổng này nằm trong điểm kết thúc /ajax/settings/mobile/confirm_phone.php. Này có thông số khác nhau, nhưng hai chính là mã, mà là mã xác minh nhận được qua điện thoại di động của bạn, andprofile_id, đó là tài khoản để liên kết các số đó. Có điều là, profile_id được thiết lập tài khoản của bạn (rõ ràng), nhưng thay đổi nó đến mục tiêu của bạn không kích hoạt một lỗi. Để khai thác lỗi này, trước tiên chúng ta gửi thư đến 32.665 F, đó là số SMS của Facebook tại Vương quốc Anh. Chúng tôi nhận được một mã xác minh 8 nhân vật trở lại.

đang được dịch, vui lòng đợi..

Kết quả (Việt) 3:[Sao chép]

Sao chép!

đang được dịch, vui lòng đợi..

Các ngôn ngữ khác

Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.