这篇文章的内容是通过一个简单的不需要用户交互的漏洞就能黑掉所有Facebook用户的账号，使得我能查看被黑用户的信息、信用卡/储蓄卡信息、个人照片等。Facebook确认了这个漏洞，在修复了这个漏洞的同时根据这个漏洞的严重性和影响程度而支付了我$15,000。

漏洞描述

如果用户忘记账号密码，可以在facebook输入手机号码/邮箱地址来进行密码重置，之后Facebook会发送一个6位验证码到该手机或者邮箱中，通过输入该验证码就能进行密码重置。我尝试在主站上进行6位验证码的爆破，但是会在10-12次失败后被禁止操作。

于是我在beta.facebook.com和mbasic.beta.facebook.com尝试同样的爆破行为，发现这两个地方没有进行限制。我尝试对我的账号进行密码找回(因为 Facebook有规定不能对其他用户的账号进行破坏)，并且成功的重置了我的密码。

漏洞验证视频