一项服务非常受欢迎并不意味着它的安全性也很好。一个例子:Instagram。这款照片共享应用程序目前在全球拥有超过 4 亿用户,直到最近才对帐户访问安全性兴趣不大。几个月前,当比利时安全研究员 Arne Swinnen 调查这个主题时,他很快发现两个漏洞允许您通过暴力破解任何用户的密码。在这两种情况下,问题都是身份验证过程中明显缺乏控制和验证。
第一个漏洞于 2015 年 12 月发现,位于管理移动应用程序身份验证的服务器中。当黑客向他发送身份验证请求时,他在前 1000 次尝试中回答密码是否存在。在接下来的 1000 次尝试中,服务器没有提供相关的密码信息。此后,他每隔一段时间就回复一次,没有任何限制。这使得创建相当简单的暴力攻击成为可能。一旦恢复密码,攻击者甚至不需要更改IP地址即可登录。
开业的酒吧
第二个缺陷是在 2016 年 2 月发现的,位于网站 (www.instagram.com) 上。通过发送稍微修改过的帐户创建请求,服务器报告密码是否正确。在这里,他再次毫无限制地回应。恢复密码后,研究人员可以完全安心地登录,不受任何控制功能的干扰。简而言之,这是一个开放的酒吧。
Facebook 此后通过设置用户可以发送的请求数量上限来修复这两个缺陷。此外,Instagram不再接受过于简单的密码,例如著名的“123456”。该服务甚至提供双因素身份验证。这是一个好的开始。 Arne Swinnen 则获得了 5,000 美元的奖励。
这并不是这位 26 岁的计算机科学家第一次接受 Facebook 的报酬。去年 2 月,在 BSidesSF 2016 会议上,他提出了Instagram 上发现的十个缺陷他总共收到了 10,000 美元。帽子(白色)。
来源 :
请注意 d'Arne Swinnen 博客通过黑客新闻
