臉書密碼破解,面子密碼破解,fb密碼破解,facebook密碼找回
使用暴力攻擊黑客攻擊任何Facebook帳戶 - 2
Arun在Facebook的另壹個子域(lookaside.facebook.com)中發現了同樣的暴力漏洞,該漏洞在2016年從Facebook獲得了10,000美元的獎勵。
最初,他們拒絕這個錯誤,說他們無法重現它。該漏洞僅在幾周後被接受,並且壹旦安全團隊能夠重現該問題,補丁就會推出。
示例請求看起來像這樣
發布/恢復/ as / code /
主機:lookaside.facebook.com
N = <6_digit_code>&other_boring_parameters
攻擊場景與我們在前壹種方法中看到的完全相同,唯壹的區別是域名。
4.使用跨站請求偽造攻擊攻擊任何Facebook帳戶
此方法要求受害者訪問網站鏈接(在受害者應登錄Facebook的瀏覽器中)以完成黑客攻擊。
對於那些不了解CSRF攻擊的人,請在此處閱讀。
FB密碼破解 facebook破解 line密碼破解 line密碼破解
line記錄,line聊天訊息 WhatsApp聊天記錄調查.
whatsapp破解 手機定位 手機監控.ig密碼破解
聯絡電郵hkpj007@outlook.com FB通訊記錄調查
小三調查 出軌調查 手機調查
我們是收費破解,破解的是對方現在正在使用的密碼,
安全保密,及驗證碼我們有最新的技術都可以為你解決,
你只需要提供對方的ID號及手機號或網址給我們,其它的交
給我們就可以 我們的聯絡電郵hkpj007@outlook.com
該漏洞存在於聲稱Facebook的電子郵件地址端點。當用戶聲明電子郵件地址時,沒有執行服務器端驗證哪個用戶正在發出請求,因此它允許在任何FB帳戶上聲明電子郵件。
您需要在創建CSRF攻擊頁面之前獲取電子郵件聲明URL。為此,請嘗試將您的電子郵件地址更改為已用於FB帳戶的電子郵件地址。然後,如果屬於您,將要求您提供電子郵件。
帶有聲明按鈕的彈出窗口應該會在我們單擊聲明按鈕後將您重定向到我們需要的URL。
網址應該如下
https://www.facebook.com/support/openid/accept_hotmail.php?appdata=%7B%22fbid%22%3A%22&code= <代碼>
妳有網址。我們要做的最後壹件事是創建壹個頁面,將URL放在iframe中並將其發送給受害者。
壹旦他/她導航到URL,該電子郵件地址將附加到受害者的Facebook帳戶。而已。您現在可以通過重置密碼選項破解受害者的Facebook帳戶。
這個CSRF帳戶接管漏洞由Dan Melamed在2013 年發現,並由FB安全團隊立即修補。
5.使用CSRF破解任何Facebook帳戶 - 2
這種黑客技術類似於前壹種技術,受害者需要訪問攻擊者網站才能使攻擊發揮作用。
在聯系人導入程序端點中發現此漏洞。當用戶批準Facebook訪問Microsoft Outlook的聯系簿時,會向FB服務器發出請求,然後將該電子郵件添加到相應的Facebook帳戶。
可以通過攻擊者Facebook帳戶中的查找聯系人選項來執行此操作。然後妳應該找到以下對FB服務器的請求(使用像burp這樣的攔截代理)
https://m.facebook.com/contact-importer/login?auth_token=
可以使用相同的GET請求來執行CSRF攻擊。您所要做的就是將URL嵌入攻擊頁面的iframe中並與受害者共享鏈接。
壹旦受害者訪問攻擊頁面,受害者的帳戶就會被黑客入侵。
這個錯誤是由Josip在2013 年發現的,並由FB安全團隊修補。
6.黑客Facebook帳戶上的任何操作 - CSRF繞過
此CSRF漏洞允許攻擊者完全接管帳戶,並且還能夠匿名執行受害者Facebook帳戶上的任何操作,如喜歡頁面,發布照片等,而不會侵入帳戶。
廣告管理器端點中存在此漏洞。示例帳戶接管CSRF請求如下所示
POST / ads / manage / home /?show_dialog_uri = / settings / email / add / submit /?new_email = <attacker_email>
攻擊者所要做的就是創建壹個帶有表單的CSRF頁面,以便在受害者登陸頁面時自動在iframe中提交發布請求。攻擊者的電子郵件將匿名添加到受害者的帳戶中。
然後攻擊者可以通過重置密碼攻入受害者的Facebook帳戶。
這是Pouya Darabai在2015 年發現的,並通過Facebook bug賞金計劃獲得了15,000美元的賞金。
7.在沒有管理員的情況下破解任何Facebook頁面
這個Facebook頁面黑客方法是由Arun 在2016 年發現的,並獲得了16,000美元的獎勵。
在這種情況下,用於分配合作夥伴的業務經理端點易受攻擊。將合作夥伴業務資產ID參數更改為頁面ID允許Arun入侵任何頁面。
樣品申請
POST / business_share / asset_to_agency /
Host:business.facebook.com
parent_business_id = <business_id>&agency_id = <business_id>&ASSET_ID = <target_page_id>
應將業務ID參數分配給攻擊者的業務ID,並將資產ID參數替換為目標Facebook頁面ID。
這就對了。現在,目標頁面應歸業務所有。攻擊者可以刪除現有的頁面管理員以完全接管Facebook頁面。
8.黑客Facebook用戶的私人照片
我在2015年發現了這張私人照片漏洞,作為賞金計劃的壹部分獲得了10,000美元的獎勵。
私人照片首先是什麽意思?您在移動設備上發布但未發布到Facebook的照片就是我說私人照片時的意思。
移動應用程序具有稱為同步移動照片的默認功能。有趣的是,某些手機默認啟用此功能。
此功能會將您的移動照片上傳到FB服務器,但在將其手動發布到Facebook之前會將其保密。
處理這些私有照片的端點中的漏洞允許任何第三方應用查看/訪問用戶的私人照片。要使此攻擊有效,第三方應用必須能夠訪問用戶的公開照片,然後才能訪問私人照片。
對Graph API訪問受害者私密照片的示例請求如下所示
GET / me / vaultimages 主持人:graph.facebook.com
的access_token = <victim_access_token>
而已。API端點的響應應該包含受害者私密照片的URL。
Facebook通過將可以訪問vaultimages端點的應用程序列入白名單來修補此問題。
9.黑客任何Facebook用戶的照片
Arul Kumar在2013年找到了壹種方法來刪除Facebook上的任何照片,他們的努力獎勵了他12,500美元。
如果有人想要刪除照片,Facebook有壹項向主人報告照片的功能。照片的所有者會收到通知,並會在有人報告後刪除照片。
Arul發現支持儀表板照片報告功能未正確驗證所有者ID,因此允許他用自己的Facebook帳戶ID替換所有者ID參數以直接獲取照片刪除鏈接。
然後攻擊者可以利用從漏洞獲取的鏈接刪除照片。關於這次襲擊的最糟糕的部分是受害者不會知道照片被刪除了。此漏洞現已完全修復。
10.破解任何Facebook用戶的照片/視頻專輯
我在2015年發現這個漏洞讓我在Facebook上取下任何專輯。擁有數千張照片和視頻的相冊可以立即刪除而無需其所有者的互動。
圖譜API是服務器與本機/第三方應用程序之間的主要通信方式。Graph API端點的Albums節點容易受到不安全的對象引用的影響,因此它允許我發出任何用戶的相冊ID來處理刪除。
刪除任何Facebook相冊的示例請求
POST / <album_id>
主持人:www.facebook.com
的access_token = <top_level_facebook_access_token>&方法=刪除
這可能會刪除ID參數中指定的相冊。攻擊者應該有權查看相冊以完成攻擊。Facebook修補了這個問題,修改了端點,只允許擁有權限的用戶,並通過報告漏洞獎勵我12,500美元。
11.破解任何Facebook視頻
Pranav發現了壹個漏洞,允許他刪除沒有專享權限的任何Facebook視頻。
Facebook可以選擇在任何帖子上添加視頻評論。Pranav發現可以將現有視頻附加到評論中,刪除評論可以讓我們輕松刪除源視頻。
因此,攻擊者應該通過以下圖形API請求嘗試使用某人的Facebook視頻ID編輯帖子上的現有評論。
留言列表
