存档

文章标签 ‘Facebook’

利用短信劫持Facebook帐号

2013年6月28日 没有评论

原文:http://blog.fin1te.net/post/53949849983/hijacking-a-facebook-account-with-sms

翻译:童进

这篇文章将演示一个简单的漏洞。利用这个漏洞,无须用户交互即可获取任意Facebook帐号的完全控制权。请看下文。

Facebook允许你将自己的手机号与帐号进行关联。这让你可以通过短信接收更新信息,同时也意味着你可以通过手机号而不是邮件地址进行登录。

漏洞位于“/ajax/settings/mobile/confirm_phone.php”。它接受多个参数,但其中有两个最重要:一个是发送到手机上的验证码,一个是profile_id,就是手机号码的关联账户。

关键问题是,虽然profile_id应该设置为你自己的帐号(显而易见的),但把它修改为目标帐号的值竟不会引起任何错误。

为了利用这个漏洞,我们首先给Facebook在英国的短信服务号32665发送字母F。在回复的短信中,我们可以获取8个字符的验证码。

1

我们把这个验证码输入到密码框中(在这里),并且修改fbMobileConfirmationForm表单中的profile_id元素。

tumblr_inline_mnf6281C5k1qz4rgp

请求提交后会返回成功(HTTP 200)。你会发现__user(与AJAX请求一起发送)的值与我们修改的profile_id不同。

tumblr_inline_mnf62pNrnD1qz4rgp

注意:提交这个请求[……]

阅读全文

Mark Zuckerberg并不熟悉HTML5

2012年12月20日 没有评论

原文:Matt Asay(@mjasay)的推文

翻译:Archer

关注到移动应用平台的Facebook开始将代码逐步过渡到HTML5,但是正中了那句老话“冲动是魔鬼”,网络盛传FB这种对新技术的追捧搞不好是FB最白烧钱的错误计划。业内著名的HTML5开源工具Sencha,已经出品了一款fb app,很多方面比fb官方的版本更为优秀。

Sencha在自己的blog中讲,“当团队在HTML5上遇到问题时,他们通常犯有经验主义错误–往往他们将网站开发的模式套用在app程序上,以至于经常使用不恰当的工具设计的框架并不得当。其实我们就是如此看facebook 官方出品的html5程序,它运转的很慢、使用户在使用news feed时感觉很卡,刷新率很低,这些都是(行外人作品的)常见问题。”

不知道是不是挑衅或是炒作,Sencha出品了非官方的HTML5版facebook,即Fastbook(因为被墙所以大陆地区体验不了)。敢于公开叫板facebook的Sencha果然不是白给的,他们的Fastbook在移动平台上相当不错(尤其是比起FB开发的各种移动平台程序来更流畅)。Sencha赏金2万美金举办 HTML5开发竞赛。开发个HTML5程序入选赚点外快可能对于多数人来说是不错的主意。

job_graph_from_indeed2

Sencha也相信2012年将是HTML5一展风采的时代。某些在HTML5概念阶段的缺陷和局限,通过厂商间的协作基本可在2013年之前得以改善。[……]

阅读全文

分类: 产业发展 标签: ,