研究人员破解IG的密码复原程序,可取得任何用户的登入凭证

原标题:研究人员破解IG的密码复原程序,可取得任何用户的登入凭证

一名独立研究人员Laxman Muthiyah本周揭露了他如何破解了Instagram(IG)社交网站的密码复原程序,可取得任何IG用户的登入凭证,还得到了脸书(Facebook)所颁发的3万美元抓漏奖金。

Muthiyah说,他一开始就想寻找IG的密码重设漏洞,先试着在IG的网页重设密码,但几分钟之后就觉得该服务的安全机制颇为强大,于是转向IG的行动帐号复原程序。

当使用者要求以行动装置接受IG的密码重设服务时,会收到IG所寄出的6位数密码,使用者可先输入该密码,再变更成自己的密码。

于是Muthiyah决定采用暴力破解法来猜测此一6位数密码。此一6位数密码的有效时间只有10分钟,且Muthiyah发现该机制的两个重要臭虫,一是它允许单一IP连续输入200次的错误密码,二是它并无黑名单的设计,亦即不会阻止持续输入错误的IP,但若要确保成功必须在10分钟内尝试100万种组合。

因此,Muthiyah使用了1,000台不同的机器同时针对同一个帐号测试密码,在10分钟内即可测试20万种组合,假设骇客透过各种云端服务以5,000台机器展开攻击,很容易就能取得任何IG用户的密码,花费大概是150美元。

Muthiyah并未说明该如何触动密码重设机制或是收到IG寄出的密码,仅是展示如何用他的1,000台机器测试20万组密码,就得到了脸书的3万美元奖励。

资料来源:iThome Security返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
免费获取
今日搜狐热点
今日推荐