«Hvordan Å Hacke Facebook?»er et av De mest søkte spørsmålene på Internett . Mange av oss ønsker å hacke seg inn i Noens Facebook-konto, men det er åpenbart ikke en enkel jobb, i hvert fall for en nybegynner.
det er tonnevis av nettsteder på Internett der Du kan finne en rekke verktøy Og metoder på hacking Facebook, men de fleste av Dem er falske og resten av dem trenger teknisk kompetanse. Vær oppmerksom på hacking verktøy, de fleste av verktøyene faktisk hacke Din Facebook-konto i stedet for målet brukeren.
hvis noen er i stand Til å hacke Facebook-konto, det betyr at de har en konto overtakelse sikkerhetsproblem som påvirker FB. De kan selge den til et svart marked ulovlig for millioner av dollar. De kan få umiddelbar berømmelse og tusenvis av dollar i belønning hvis de rapporterer sårbarheten legitimt gjennom bug bounty program.
hva får de ved å dele metoden online,det også gratis? Hva får de for å lage et gratis verktøy / programvare basert på det? Absolutt INGENTING.
så gratis hacking verktøy du ser På Internett er alle falske. Ikke kast bort din dyrebare tid på å søke slike hack verktøy.
hvis ALLE FB hacking metoder trenger teknisk kompetanse, så hvordan kommer et stort antall mennesker får sin konto hacket?
det er noen metoder som Phishing som enkelt kan gjøres ved å bruke ressursene som er tilgjengelige på Internett. Du kan lære mer om Slike Facebook hacking metoder.
se også Hvorfor Facebook belønnet meg $10.000 USD FOR hacking Facebook mobile app private bilder ved hjelp Av et sikkerhetsproblem.
en tyv kan ikke alltid bruke døråpningen din til å komme hjem. På samme måte kan en hacker ikke trenger passordet ditt hele tiden å hacke Din Facebook-konto. Faktisk, mesteparten av tiden et passord er ikke nødvendig for en hacker å hacke Din Facebook-konto. Høres rart ut? Det ville med mindre Du er en hacker 😉
Hackere er ikke tryllekunstnere å bruke triks for å få showet gjort. De gjør det på en vanskelig måte. De bruker dag og natt for å undersøke for å finne et sikkerhetsproblem som påvirker Facebook. Hacking en konto er ikke vanskelig når de har en sårbarhet.
Vi kommer til å dekke Noen Facebook hacking teknikker oppdaget på bug bounty program som kunne ha la noen hacke inn NOEN FB konto UTEN PASSORD. Vær oppmerksom på at alle metodene som er oppført her, er lappet Av Facebook-teamet, og det virker ikke lenger. Men du får en grunnleggende ide om hvordan hackere kan hacke en konto uten å vite det faktiske passordet. Sjekk lenken som er plassert i hver metode hvis du vil se flere detaljer.
Hack Noen Facebook-konto med en mobil SMS
dette sikkerhetsproblemet kan tillate en bruker å hacke FB-konto lett i en brøkdel av sekunder. Alt du trenger er et aktivt mobilnummer. Denne feilen eksisterte i endepunktet bekreft mobilnummer der brukerne verifiserer mobilnummeret sitt.
Utførelse av dette sikkerhetsproblemet er veldig enkelt. Vi bør sende en melding i følgende format.
FBOOK til 32665 (FOR USA)
du bør motta en snarvei. Deretter kan en forespørsel TIL FB server med målet bruker-ID, snarvei, og noen andre parametere gjøre magi.
Eksempelforespørsel
Post /ajax/innstillinger/mobil / confirm_phone.php
Vert: www.facebook.com
profile_id=<target_user_id>&code=<short_code>&other_boring_parameters
Det er det. Sende denne forespørselen Til Facebook server med noen bruker cookies kan hacke målkontoen. Mobilnummeret ditt vil bli knyttet til målbrukerens FB-konto når du får svar fra FB-serveren. Nå kan du starte en forespørsel om tilbakestilling av passord ved hjelp av mobilnummeret og hacke inn i målkontoen enkelt.
dette sikkerhetsproblemet Ble funnet Av Jack i 2013. FB security team lappet problemet ganske raskt og belønnet ham $20.000 USD som en del av deres bounty program.
Hack Noen Facebook-konto ved Hjelp Av Brute Force Attack
dette brute force sårbarhet fører til fullstendig fb konto overtakelse som ble funnet Av Anand i 2016. Facebook belønnet ham $15.000 som en del av deres bug bounty-program.
denne feilen funnet på tilbakestill passord endepunkt På Facebook. Når en bruker glemmer passordet sitt, kan han/hun tilbakestille passordet ved hjelp av dette alternativet ved å skrive inn hans / hennes telefonnummer eller e-postadresse.
en 6-sifret kode vil bli sendt til brukeren for å verifisere om forespørselen er gjort av den berørte personen. Brukeren kan deretter tilbakestille passordet ved å skrive inn den 6-sifrede bekreftelseskoden.
man kan ikke prøve forskjellige kombinasjoner av koden mer enn 10 til 12 forsøk siden FB-serveren vil blokkere kontoen for tilbakestilling av passord midlertidig.
Anand fant det mbasic.facebook.com og beta.facebook.com klarte ikke å utføre brute force validering dermed tillater en angriper å prøve alle mulighetene for sekssifret kode.
Eksempelforespørsel
Post / gjenopprett / som / kode/
Vert: mbasic.facebook.com
n= < 6_digit_code> & other_boring_parameters
Ved Å Prøve alle mulighetene (brute tvinge) av den sekssifrede parameteren (n=123456) kan en angriper sette et nytt passord for ENHVER FB-bruker. Dette kan oppnås ved noen brute force verktøy tilgjengelig på nettet.
Facebook løste dette sikkerhetsproblemet ved å sette grenser for antall forsøk man kan utføre på reset-kodeendepunktet.
Hacking Noen Facebook-konto ved Hjelp Av Brute Force Attack – 2
Arun funnet samme brute force sårbarhet i et annet underdomene (lookaside.facebook.com) Av Facebook som hadde fått ham $10,000 belønning Fra Facebook i 2016.
i Utgangspunktet avviste de feilen ved å si at de ikke klarer å reprodusere den. Sårbarheten ble akseptert bare etter noen uker, og oppdateringen ble rullet ut så snart deres sikkerhetsteam var i stand til å reprodusere problemet.
og prøveforespørselen ser slik ut
Post / recover / as / code /
Vert: lookaside.facebook.com
n= < 6_digit_code> & other_boring_parameters
angrepsscenariet er nøyaktig det samme som vi har sett i den forrige metoden, og den eneste forskjellen er domenenavnet.
Hacking Hvilken Som Helst Facebook-konto ved Hjelp Av Et Angrep På Tvers Av Nettsteder For Å Be Om Forfalskning
denne metoden krever at offeret besøker en nettside-lenke (i en nettleser der offeret skal være logget På Facebook) for å fullføre hackingangrepet.
for de av dere som ikke vet OM csrf-angrep, les om DET her.
feilen eksisterte i å hevde e-postadresse endepunkt For Facebook. Når en bruker hevder en e-postadresse, ble det ikke utført noen validering på serversiden av hvilken bruker som gjør forespørselen, slik at det kan kreves en e-post på EN HVILKEN SOM HELST FB-konto.
du må hente e-postkravets URL før du oppretter EN csrf-angrepsside. For det, prøv å endre e-postadressen din til en e-postadresse som allerede er brukt til EN FB-konto. Da vil du bli bedt om å kreve e-post hvis det tilhører deg.
en popup med krav-knapp skal omdirigere DEG til NETTADRESSEN vi trenger når vi klikker på krav-knappen.
URL skal se ut som
https://www.facebook.com/support/openid/accept_hotmail.php?appdata=%7B%22fbid%22%3A%22&code=<code>
DU har FÅTT URL. Det siste vi må gjøre er å lage en side for å sette NETTADRESSEN i en iframe og sende den til offeret.
e-postadressen vil bli knyttet til offerets Facebook-konto når han / hun navigerer TIL NETTADRESSEN. Sånn ja. Du kan nå hacke offerets Facebook-konto gjennom tilbakestill passord alternativet.
dette sikkerhetsproblemet for csrf-kontoovertakelse ble funnet Av Dan Melamed i 2013 og ble lappet umiddelbart av FB security team.
Hack Noen Facebook – konto ved HJELP AV CSRF-2
denne hacking teknikken er lik den forrige der offeret må besøke angriperens nettsted for angrepet skal fungere.
dette sikkerhetsproblemet ble funnet i kontakt importør endepunkt. Når En bruker godkjenner Facebook for å få tilgang Til Microsoft Outlook ‘ s kontaktbok, blir DET gjort en forespørsel TIL FB-serveren som igjen legger til e-posten til Den respektive Facebook-kontoen.
Man kan gjøre dette Ved Å Finne kontakter alternativ i angriperen Facebook-konto. Da bør du finne følgende forespørsel gjort TIL FB server (bruk avskjære proxy som burp)
https://m.facebook.com/contact-importer/login?auth_token=
DEN samme GET-forespørselen kan brukes til å perfrom CSRF-angrepet. Alt du trenger å gjøre er å legge INN NETTADRESSEN i en iframe i angrepssiden og dele lenken med offeret.
Offerets konto kan hackes så snart offeret besøker angrepssiden.
denne feilen ble funnet Av Josip på 2013 og lappet AV FB security team.
6. Hacking noen handlinger På Facebook-konto-EN Csrf Bypass
dette csrf sårbarhet tillater angriperen å ta over kontoen helt, og også det har evnen til å utføre handlinger som smak side, legge ut et bilde, etc. på offerets Facebook-konto anonymt uten å hacke seg inn på kontoen.
denne feilen eksisterte i annonseadministrasjon-endepunktet. Prøven konto ta OVER csrf forespørsel se slik ut
POST /annonser/administrere/hjem/?show_dialog_uri= / innstillinger / e-post / legg til / send/?new_email=<attacker_email>
alt angriperen må gjøre er å lage EN CSRF-side med et skjema for automatisk å sende inn post-forespørselen i en iframe når offeret lander på siden. Angriperens e-post vil bli lagt til offerets konto anonymt.
da kan angriperen hacke seg inn i offerets Facebook-konto ved å tilbakestille passordet.
Dette ble funnet Av Pouya Darabai i 2015 og fikk en dusør på $15.000 Gjennom Facebook bug bounty program.
7. Hacke En Facebook-side uten å være en admin
Denne Facebook – side hacking metoden ble funnet Av Arun i 2016 og har fått en belønning på $16,000 USD for det.
Business manager-endepunktet som ble brukt til å tilordne en partner, var sårbart i dette tilfellet. Endring av parameteren partner business asset ID til en side ID tillot Arun å hacke seg inn på en hvilken som helst side.
Eksempelforespørsel
Post/business_share/asset_to_agency /
Vert: business.facebook.com
parent_business_id=<business_id>&agency_id=<business_id>&asset_id=<target_page_id>
Business ID-parameter skal tilordnes angriperens business ID, og aktiva – id-parameter skal erstattes med Mål-Facebook-SIDE-ID-EN.
Det er det. Nå skal målsiden eies av virksomheten. Angriperen kan fjerne de eksisterende sideadministratorene for å fullstendig overta Facebook-siden.
8. Hacking Facebook brukerens Private Bilder
denne private bilder sårbarhet ble funnet av meg i 2015 og fikk en belønning på $10,000 som en del av deres skuddpremie program.
Hva mener Jeg Med Private bilder i utgangspunktet? Bildene som du har i mobil og ikke publisert Til Facebook de er de jeg mener når jeg sier private bilder.
mobilappen har en standardfunksjon som kalles synkronisering av mobilbilder. Interessant denne funksjonen ble slått på som standard i noen mobiltelefoner.
denne funksjonen laster opp mobilbildene dine til FB-serveren, men holder den privat til du manuelt publiserer Den til Facebook.
Et Sikkerhetsproblem i et endepunkt som håndterer disse private bildene, gjør at tredjepartsapper kan se/få tilgang til brukerens private bilder. For at dette angrepet skal fungere, må tredjepartsappen ha tilgang til brukerens offentlige bilder, bare da kan den få tilgang til de private bildene.
Eksempelforespørsel Til Graph API for å få tilgang til de private bildene av offeret ser slik ut
GET / me / vaultimages
Host: graph.facebook.com
access_token= < victim_access_token>
Det er det. Svaret FRA API-endepunktet skal ha Nettadressene til private bilder av offeret.
Facebook lappet problemet ved å hviteliste appene som har tilgang til vaultimages-endepunktet.
9. Hacking Noen Facebook brukerens Bilder
Arul Kumar funnet en måte å slette et bilde På Facebook i 2013 og de belønnet ham $12,500 for hans innsats.
Facebook har en funksjon for å rapportere bilde til eieren hvis noen ønsker å få bildet fjernet. Eieren av bildet får et varsel og en lenke for å slette bildet når det er rapportert av noen.
Arul fant ut at support dashboard photo reporting-funksjonen ikke validerte eier-Id-Ene riktig, slik at han kunne erstatte eier-ID-parameteren med Sin Egen Facebook-konto-ID for å få linken for sletting av bildet direkte.
da angriperen kan slette bildet ved hjelp av fått link fra utnytte. Det verste med dette angrepet er at offeret ikke vil vite at bildet ble slettet. Dette sikkerhetsproblemet er helt løst nå.
10. Hacke Noen Facebook brukerens foto / video Album
dette sikkerhetsproblemet ble funnet av meg i 2015 som tillot Meg å ta ned noen album På Facebook. Album med tusenvis av bilder og videoer kan slettes umiddelbart uten samspillet mellom eieren.
Graph API er den primære kommunikasjonsmåten mellom serveren og innfødte / tredjepartsapper. Albumnoden Til Graph API-endepunktet var sårbart for usikker objektreferanse, slik at det tillot meg å utstede en brukers album-ID for å behandle slettingen.
en prøveforespørsel om å slette Et facebook-fotoalbum
POST / < album_id>
Vert: www.facebook.com
access_token=<top_level_facebook_access_token>&metode = slett
dette kan slette albumet som er angitt I id-parameteren. Angriperen bør ha tillatelse til å vise albumet for å fullføre angrepet. Facebook lappet dette problemet ved å fikse endepunktet for å bare tillate brukere med privilegier og belønnet MEG $12,500 USD FOR å rapportere sikkerhetsproblemet.
11. Hack Noen Facebook-videoer
Pranav fant et sikkerhetsproblem som tillot Ham å slette Noen Facebook-videoer uten samtykke.
Facebook har mulighet til å legge til video i kommentarer på et innlegg. Pranav funnet at feste eksisterende videoer til en kommentar er mulig og slette kommentaren kunne la oss slette kilden video lett.
så angriperen bør prøve å redigere en eksisterende kommentar på et innlegg med noens Facebook video-ID gjennom følgende graph API-forespørsel.