記一次facebook 15000美金賞金的漏洞挖掘

我如何能夠黑掉 Facebook 20 億個賬戶中的任何一個，而他們卻付給我 15,000 美元賞金

我根據負責任的披露政策征得 Facebook 的許可發布此內容。他們已經修復了這個漏洞。

這篇文章是關于我在 Facebook 上發現的一個簡單漏洞，我可以利用該漏洞輕松侵入其他用戶的 Facebook 帳戶，而無需任何用戶交互。

這使我可以通過設置新密碼來完全訪問其他用戶的帳戶。我能夠查看消息、支付部分下存儲的信用卡/借記卡、個人照片和其他私人信息。

Facebook及時承認了該問題并修復了該問題，并根據該漏洞的嚴重性和影響向我獎勵了 15,000 美元的獎金。

漏洞描述

每當用戶忘記 Facebook 密碼時，他們可以選擇通過在https://www.facebook.com/login/identify?ctx=recover&lwv=110上輸入電話號碼和電子郵件地址來重置密碼。

然后，Facebook 會向該電話號碼或電子郵件地址發送一個 6 位數代碼，用戶必須輸入該代碼才能設置新密碼。

我嘗試在www.facebook.com上暴力破解 6 位代碼，但在 10 到 12 次無效嘗試后被阻止。

然后我在 beta.facebook.com 和 mbasic.beta.facebook.com 上查找了同樣的問題。有趣的是，忘記密碼端點缺少速率限制。

我嘗試接管我自己的帳戶（根據 Facebook 的政策，您不應對任何其他用戶的帳戶造成任何損害），并成功為我的帳戶設置了新密碼。然后我可以使用相同的密碼登錄我自己的被黑帳戶。