„Jak włamać Facebook?”to jedno z najczęściej wyszukiwanych pytań w Internecie. Wielu z nas bardzo chce włamać się na czyjeś konto na Facebooku, ale oczywiście nie jest to łatwe zadanie, przynajmniej dla nowicjusza.
Istnieje mnóstwo stron internetowych w Internecie, gdzie można znaleźć wiele narzędzi i metod na hacking Facebook, ale większość z nich są fałszywe, a reszta z nich potrzebują wiedzy technicznej. Proszę uważaj na narzędzia hakerskie, większość narzędzi faktycznie włamać swoje konto Facebook zamiast docelowego użytkownika.
jeśli ktoś jest w stanie zhakować konto na Facebooku, oznacza to, że ma lukę w zabezpieczeniach konta wpływającą na FB. Mogą sprzedać go nielegalnie na czarnym rynku za miliony dolarów. Mogą uzyskać natychmiastową sławę i tysiące dolarów nagrody, jeśli zgłoszą lukę zgodnie z prawem za pośrednictwem programu nagród za błędy.
co dostają dzieląc się metodą online, to też za darmo? Co dostają za stworzenie darmowego narzędzia / oprogramowania na jego podstawie? Absolutnie nic.
więc darmowe narzędzia hakerskie, które widzisz w Internecie, są fałszywe. Nie trać cennego czasu na wyszukiwanie takich narzędzi hakerskich.
jeśli wszystkie metody hakerskie FB wymagają wiedzy technicznej, to dlaczego duża liczba osób włamuje się na swoje konto?
istnieją pewne metody, takie jak Phishing, które można łatwo zrobić za pomocą zasobów dostępnych w Internecie. Możesz dowiedzieć się więcej o takich metodach hakerskich na Facebooku.Facebook nagrodził mnie 10 000 USD za włamanie się do prywatnych zdjęć aplikacji mobilnej Facebooka przy użyciu luki w zabezpieczeniach.
złodziej może nie zawsze korzystać z drzwi, aby wejść do domu. W ten sam sposób haker może nie potrzebować twojego hasła przez cały czas, aby zhakować Twoje konto na Facebooku. W rzeczywistości przez większość czasu hasło nie jest konieczne, aby haker włamał się do Twojego konta na Facebooku. Brzmi dziwnie? Byłoby chyba, że jesteś hakerem 😉
hakerzy nie są magikami, aby używać sztuczek, aby zrobić program. Robią to w trudny sposób. Spędzają dzień i noc na badaniach, aby znaleźć lukę w zabezpieczeniach wpływającą na Facebooka. Hakowanie konta nie jest trudne, gdy ma lukę.
omówimy kilka technik hakerskich na Facebooku odkrytych w programie Bug bounty, które mogły pozwolić każdemu włamać się na dowolne konto FB bez hasła. Pamiętaj, że wszystkie wymienione tutaj metody są poprawione przez zespół Facebooka i nie działają już. Ale otrzymasz podstawowe pojęcie o tym, jak hakerzy mogą włamać się do konta bez znajomości rzeczywistego hasła. Sprawdź link umieszczony w każdej metodzie, jeśli chcesz zobaczyć więcej szczegółów.
Hack dowolnego konta Facebook z telefonu SMS
luka ta może pozwolić użytkownikowi włamać konto FB łatwo w ułamku sekund. Wszystko czego potrzebujesz to aktywny numer telefonu komórkowego. Ta wada istniała w punkcie końcowym confirm mobile number, w którym użytkownicy weryfikują swój numer telefonu komórkowego.
wykonanie tej luki jest bardzo proste. Powinniśmy wysłać wiadomość w następującym formacie.
FBOOK do 32665 (dla USA)
powinieneś otrzymać krótki kod. Następnie żądanie do serwera FB z docelowym identyfikatorem użytkownika, shortcode i kilkoma innymi parametrami może zrobić magię.
przykładowe zapytanie
Post / ajax/settings/mobile / confirm_phone.PHP
Host: www.facebook.com
profile_id=<target_user_id>&code=<short_code>&other_boring_parameters
to tyle. Wysyłanie tego żądania do serwera Facebooka za pomocą Plików cookie użytkownika może włamać się do konta docelowego. Twój numer telefonu komórkowego zostanie dołączony do konta docelowego użytkownika FB po otrzymaniu odpowiedzi z serwera FB. Teraz możesz zainicjować żądanie resetowania hasła za pomocą numeru telefonu komórkowego i łatwo włamać się do konta docelowego.
ta luka została znaleziona przez Jacka w 2013 roku. Zespół bezpieczeństwa FB dość szybko załatał problem i nagrodził go 20 000 USD w ramach swojego programu nagród.
Hack dowolnego konta Facebook za pomocą Brute Force Attack
ta luka brute force prowadzi do całkowitego przejęcia konta FB, który został znaleziony przez Anand w 2016 roku. Facebook nagrodził go $15,000 w ramach ich programu bug bounty.
ta wada znalazła się na resetowaniu hasła na Facebooku. Za każdym razem, gdy użytkownik zapomni swoje hasło, może zresetować hasło za pomocą tej opcji, wprowadzając swój numer telefonu lub adres e-mail.
6-cyfrowy Kod zostanie wysłany do użytkownika w celu sprawdzenia, czy wniosek został złożony przez zainteresowaną osobę. Następnie użytkownik może zresetować swoje hasło, wprowadzając 6-cyfrowy kod weryfikacyjny.
nie można próbować różnych kombinacji kodu więcej niż 10 do 12 prób, ponieważ serwer FB tymczasowo zablokuje konto do resetowania hasła.
Anand stwierdził, że mbasic.facebook.com i beta.facebook.com nie wykonał walidacji brute force, umożliwiając atakującemu wypróbowanie wszystkich możliwości sześciocyfrowego kodu.
przykładowe zapytanie
Post /recover/as/code/
Host: mbasic.facebook.com
n=<6_digit_code>&other_boring_parameters
wypróbowanie wszystkich możliwości (brutalne wymuszanie) sześciocyfrowego parametru (n=123456) pozwala atakującemu ustawić nowe hasło dla dowolnego użytkownika FB. Można to osiągnąć za pomocą dowolnego narzędzia brute force dostępnego online.
Facebook naprawił tę lukę, wprowadzając ograniczenia na liczbę prób, które można wykonać na punkcie końcowym kodu resetowania.
Hacking dowolnego konta na Facebooku przy użyciu Brute Force Attack – 2
Arun znalazł tę samą lukę brute force w innej subdomenie (lookaside.facebook.com) Facebook, który otrzymał od Facebooka w 2016 roku nagrodę w wysokości 10 000 dolarów.
początkowo odrzucili błąd mówiąc, że nie są w stanie go odtworzyć. Luka została zaakceptowana dopiero po kilku tygodniach, a łatka została wprowadzona, gdy tylko zespół ds. bezpieczeństwa był w stanie odtworzyć problem.
i przykładowe żądanie wygląda tak
Post /recover/as/code/
Host: lookaside.facebook.com
n=<6_digit_code>&other_boring_parameters
scenariusz ataku jest dokładnie taki sam, jak widzieliśmy w poprzedniej metodzie, a jedyną różnicą jest nazwa domeny.Facebooka za pomocą ataku typu Cross Site Request Forgery
ta metoda wymaga od ofiary odwiedzenia łącza do strony internetowej (w przeglądarce, w której ofiara powinna być zalogowana na Facebooku), aby zakończyć atak hakerski.
dla tych z Was, którzy nie wiedzą o atakach CSRF, przeczytaj o tym tutaj.
wada istniała w twierdzeniu, że adres e-mail jest używany przez Facebooka. Gdy użytkownik twierdzi adres e-mail, nie przeprowadzono walidacji po stronie serwera, z którego Użytkownik składa wniosek, dzięki czemu pozwala na roszczenie e-maila na dowolnym koncie FB.
musisz uzyskać adres URL roszczenia e-mail przed utworzeniem strony ataku CSRF. W tym celu spróbuj zmienić swój adres e-mail na adres e-mail, który jest już używany dla konta FB. Następnie zostaniesz poproszony o odebranie wiadomości e-mail, jeśli należy ona do ciebie.
wyskakujące okienko z przyciskiem roszczenia powinno przekierować Cię na adres URL, którego potrzebujemy, gdy klikniemy przycisk roszczenia.
URL powinien wyglądać
https://www.facebook.com/support/openid/accept_hotmail.php?appdata=%7B%22fbid%22%3A%22&code=<code>
masz adres URL. Ostatnią rzeczą, jaką musimy zrobić, to stworzyć stronę, aby umieścić adres URL w ramce iframe i wysłać go do ofiary.
adres e-mail zostanie dołączony do konta ofiary na Facebooku po przejściu na adres URL. To wszystko. Możesz teraz włamać konto ofiary na Facebooku za pomocą opcji resetowania hasła.
ta luka w zabezpieczeniu konta CSRF została znaleziona przez Dana Melameda w 2013 roku i została natychmiast załatana przez zespół ds. bezpieczeństwa FB.
Hack dowolnego konta Facebook za pomocą CSRF-2
ta technika hakowania jest podobna do poprzedniej, w której ofiara musi odwiedzić stronę atakującego, aby atak działał.
ta luka została znaleziona w punkcie końcowym contact importer. Gdy Facebook zatwierdzi dostęp do książki kontaktów Microsoft Outlook, zostanie wysłana prośba do serwera FB, który z kolei dodaje wiadomość e-mail do odpowiedniego konta na Facebooku.
można to zrobić, znajdując opcję kontaktów na koncie atakującego na Facebooku. Następnie należy znaleźć następujące żądanie skierowane do serwera FB (użyj przechwytywania proxy jak burp)
https://m.facebook.com/contact-importer/login?auth_token=
to samo żądanie GET może być użyte do wykonania ataku CSRF. Wszystko, co musisz zrobić, to osadzić adres URL w ramce iframe na stronie ataku i udostępnić link ofierze.
konto ofiary może zostać zhakowane, gdy tylko ofiara odwiedzi stronę ataku.
ten błąd został znaleziony przez Josipa w 2013 roku i poprawiony przez zespół bezpieczeństwa FB.
6. Hakowanie wszelkich działań na koncie Facebook-obejście CSRF
ta luka w CSRF pozwala atakującemu całkowicie przejąć konto, a także ma możliwość wykonywania wszelkich działań, takich jak polubienie strony, opublikowanie zdjęcia itp. anonimowo na koncie ofiary na Facebooku, bez włamywania się do konta.
ta wada istniała w punkcie końcowym Menedżera reklam. Przykładowe konto przejmuje żądanie CSRF wygląda tak
POST / ads/manage/home/?show_dialog_uri=/settings/email/add/submit/?new_email= <attacker_email>
wszystko, co atakujący musi zrobić, to stworzyć stronę CSRF z formularzem, aby automatycznie przesłać żądanie post w ramce iframe, gdy ofiara wyląduje na stronie. Adres e-mail osoby atakującej zostanie dodany do konta ofiary anonimowo.
następnie atakujący może włamać się do konta ofiary na Facebooku, resetując hasło.
to zostało znalezione przez Pouyę Darabai w 2015 roku i otrzymało nagrodę w wysokości 15 000 $za pośrednictwem programu bug bounty na Facebooku.
7. Hack Facebook Strona bez bycia administratorem
ta strona Facebook Hacking metoda została znaleziona przez Arun w 2016 i ma nagrodę w wysokości $16,000 USD za to.
punkt końcowy Business manager użyty do przypisania partnera był w tym przypadku podatny na ataki. Zmiana parametru partner Business asset ID na identyfikator strony pozwoliła Arunowi włamać się do dowolnej strony.
przykładowe zapytanie
POST / business_share/asset_to_agency /
Host: business.facebook.com
parent_business_id=<business_id>&agency_id=<business_id>&asset_id=<target_page_id>
parametr ID firmy powinien być przypisany do identyfikatora biznesowego atakującego, a parametr ID aktywów powinien zostać zastąpiony docelowym identyfikatorem strony na Facebooku.
to jest to. Teraz strona docelowa powinna być własnością firmy. Atakujący może usunąć istniejących administratorów strony, aby całkowicie przejąć stronę na Facebooku.
8. Hacking prywatne zdjęcia użytkownika Facebooka
ta luka w prywatnych zdjęciach została znaleziona przeze mnie w 2015 roku i otrzymała nagrodę w wysokości 10 000 USD w ramach programu nagród.
co mam na myśli mówiąc prywatne zdjęcia? Zdjęcia, które masz w telefonie komórkowym i nie opublikowane na Facebooku, to te, które mam na myśli, gdy mówię prywatne zdjęcia.
aplikacja mobilna ma domyślną funkcję o nazwie Synchronizacja zdjęć mobilnych. Co ciekawe, funkcja ta była domyślnie włączona w niektórych telefonach komórkowych.
ta funkcja przesyła Twoje zdjęcia mobilne na serwer FB, ale zachowuje je prywatnie, dopóki nie opublikujesz ich ręcznie na Facebooku.
luka w punkcie końcowym obsługującym te prywatne zdjęcia umożliwia dowolnej aplikacji innej firmy przeglądanie prywatnych zdjęć użytkownika. Aby ten atak zadziałał, aplikacja innej firmy musi mieć dostęp do publicznych zdjęć użytkownika, tylko wtedy może uzyskać dostęp do prywatnych zdjęć.
przykładowe zapytanie do Graph API, aby uzyskać dostęp do prywatnych zdjęć ofiary, wygląda tak
GET /me/vaultimages
Host: graph.facebook.com
access_token=<victim_access_token>
to wszystko. Odpowiedź z punktu końcowego API powinna zawierać adresy URL do prywatnych zdjęć ofiary.
Facebook załatał problem, umieszczając na białej liście aplikacje, które mogą uzyskać dostęp do punktu końcowego vaultimages.
9. Facebook Hacking zdjęcia
Arul Kumar znalazł sposób, aby usunąć wszelkie zdjęcia na Facebooku w 2013 roku i nagrodzili go $12,500 za jego wysiłki.
Facebook ma funkcję zgłaszania zdjęcia właścicielowi, jeśli ktoś chce usunąć zdjęcie. Właściciel zdjęcia otrzymuje powiadomienie i link do usunięcia zdjęcia po zgłoszeniu przez kogoś.
Arul odkrył, że funkcja raportowania zdjęć na pulpicie pomocy nie walidowała prawidłowo identyfikatorów właściciela, dzięki czemu mógł zastąpić parametr ID właściciela własnym identyfikatorem konta na Facebooku, aby uzyskać link do usunięcia zdjęcia bezpośrednio.
następnie atakujący może usunąć zdjęcie za pomocą uzyskanego linku z exploita. Najgorsze w tym ataku jest to, że ofiara nie będzie wiedziała, że zdjęcie zostało usunięte. Ta luka jest teraz całkowicie naprawiona.
10. Hack Facebook ’ s photo / video Albums
ta luka została znaleziona przeze mnie w 2015, która pozwoliła mi usunąć wszelkie albumy na Facebooku. Albumy z tysiącami zdjęć i filmów można natychmiast usunąć bez interakcji z właścicielem.
Graph API jest podstawowym sposobem komunikacji między serwerem a aplikacjami natywnymi/zewnętrznymi. Albums node of Graph API endpoint was vulnerable to insecure object reference so it allowed me to issue any user ’ s album ID to process the deletion.
przykładowa Prośba o usunięcie dowolnego albumu ze zdjęciami na Facebooku
POST / < album_id>
Host: www.facebook.com
access_token=<top_level_facebook_access_token>&method=delete
to może usunąć album określony w parametrze ID. Atakujący powinien mieć uprawnienia do przeglądania albumu, aby zakończyć atak. Facebook załatał ten problem, naprawiając punkt końcowy, aby umożliwić tylko użytkownikom z uprawnieniami i nagrodził mnie $12,500 USD za zgłoszenie luki.
11. Facebook Hack any filmy
Pranav znalazł lukę, która pozwoliła mu usunąć wszelkie filmy na Facebooku bez zgody.
Facebook ma możliwość dodawania wideo do komentarzy do dowolnego postu. Pranav stwierdził, że dołączanie istniejących filmów do komentarza jest możliwe, a usunięcie komentarza może pozwolić nam łatwo usunąć źródło wideo.
atakujący powinien spróbować edytować istniejący komentarz na postu z czyjegoś identyfikatora wideo na Facebooku za pomocą następującego żądania API wykresu.