本文介绍了我在Facebook上发现的任意帐户密码重置漏洞，它利用此漏洞在没有用户交互的情况下清除任何Facebook帐户。总的来说，漏洞非常简单，但影响和威胁更严重，最终我在Facebook上获得了15,000美元的赏金。 漏洞情况 该漏洞的原理是我可以获得任何其他用户的密码重置权限。只需重置密码，我就可以获得其他账户信息，FB支付区的借记卡信息，个人照片和其他私人信息。最终，Facebook确认了这个漏洞并做了快速修复。 漏洞分析 当Facebook用户忘记登录密码时，可以通过在以下“检索帐户”链接中输入个人移动电话号码或注册电子邮件来重置密码。 https://www.facebook.com/login/identify?ctx=recover&lwv=110 输入完成后，Facebook会向用户的手机或邮箱发送一个6位数的验证码，然后用户根据提示输入6位验证码，最后实现密码复位。 起初，我非常愚蠢地尝试在暴力破解www.facebook.com上生成的6位数验证码，但在超过10次无效测试后，我自己的帐户被锁定并擦除。 之后，我继续在beta.facebook.com和mbasic.beta.facebook.com上播放。有趣的是，密码重置服务中的两个Facebook子域没有设置登录尝试次数的限制！ 漏洞测试 - POC 我想，让我们对发送到帐户电话或电子邮件的6位验证码进行暴力测试。根据Facebook的漏洞披露策略，测试过程不会影响其他人的账号，所以过了一段时间，我用我自己的Facebook账号进行测试。 测试过程大致是这样的。在以下帐户恢复链接中，输入目标测试帐户的已注册移动电话号码或电子邮件地址： https://beta.facebook.com/login/identify?ctx=recover&lwv=110 https://mbasic.beta.facebook.com/login/identify?ctx=recover&lwv=110 输入后，单击“搜索”，该链接将跳转到6位验证码确认页面。此时，请拔出BurpSuite并对要在页面上输入的6位验证码进行猛烈猜测。令我惊讶的是，在BurpSuite神器的帮助下，经过数字和一点时间的合理组合，我可以有效地找到目标测试帐户的6位数验证码！ 最后，通过这个6位数的验证码，您可以有效地重置目标帐户密码，有效登录目标帐户，达到“恢复帐户”的目的，当然成功“黑掉”目标帐户，这很简单？很强大！没什么废话，一切都在PoC中： 视频演示 弱势请求方 POST/recover/as/code/HTTP/1.1 主机: beta.facebook.com LSD=AVoywo13＆安培; N=XXXXX 上述“n”参数中涉及的6位XXXXX验证码可以被猛烈猜测，并且可以有效地找到发送到测试目标账户的6位验证码，从而实现密码重置和登录目标账户。 漏洞披露流程 2016年2月22日向Facebook安全团队报告漏洞 2016年2月23日Facebook确认了该漏洞并完成了快速修复 2016年3月2日   Facebook以15,000美元的奖金奖励我 *参考源码：freecodecamp，FreeBuf小编译云编译 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。