实战 | 记一次Facebook上的双因素身份验证绕过

概括我发现 instagram 中缺乏速率限制问题，这可能允许攻击者通过使用 Mate 帐户中心确认目标用户已经确认的 facebook 手机号码来绕过 facebook 上的双因素身份验证。大家好，我是 Gtm Mänôz 。这是我第一次写漏洞赏金报告，也是我在 facebook 的最高赏金奖励。早在 2022 年 7 月中旬，由于我在 2022 年初的 Meta Bug Bounty 计划中的出色表现，我收到了参加新加坡 BountyCon 2022 的邀请。收到邀请后，我唯一的想法就是至少找到一个有效的漏洞，并登上现场黑客活动的排行榜。因此，当我在 instagram 中发现 Meta Accounts Center 的新界面时，一切就开始了。新的 Instagram 帐户中心在上图中，个人详细信息部分有一个选项，可以将电子邮件和电话号码添加到 Instagram 和链接的 Facebook 帐户，可以在输入电子邮件/电话中收到的正确 6 位代码后进行验证。在报告时，验证 6 位代码



文章无法展示全部，请购买VIP后 使用网页访问内容 或者 使用第三方RSS订阅工具访问内容