Làm con bot login rồi đổi pw luôn . Với điều kiện là f2ako làm dc đâu, fb nó sẽ redirect sang trang chính chủ của nó, ở đấy mới đổi pwd được, còn bảo mật 2 lớp, vv...
Làm con bot login rồi đổi pw luôn . Với điều kiện là f2ako làm dc đâu, fb nó sẽ redirect sang trang chính chủ của nó, ở đấy mới đổi pwd được, còn bảo mật 2 lớp, vv...
Làm con bot login rồi đổi pw luôn . Với điều kiện không có f2ako làm dc đâu, fb nó sẽ redirect sang trang chính chủ của nó, ở đấy mới đổi pwd được, còn bảo mật 2 lớp, vv...
nghĩ sao FB lại bị có lỗ hổng nào liên quan tới 2 thằng này để mà lợi dụng?XSS và CSRF nhé
Không phải tự dưng mà có cái thông báo này. Hồi 2015 nở rộ mấy trò dark theme, xem ai vào tường nhà bạn nhiều nhất,... là miếng mồi rất ngon. Rất nhiều người đã dán code vào console chạy rồi. Kết quả là Bùm, mất tài khoảnnghĩ sao FB lại bị có lỗ hổng nào liên quan tới 2 thằng này để mà lợi dụng?
Tùy theo cái chức năng đổi pass có yêu cầu pass hiện tại hay OTP khôngget dc token có đăng nhập đổi pass dc ko nhỉ dc ko nhỉ
Giờ bạn gửi cho mình bất cứ script nào đi mình mở console facebook lên chạy cho (đùng gửi script like, comment, share dạo các kiểu là đc, hack tài khoản thôi nhé), chưa kể đây là mình tự chạy script cho bạn chứ ko phải do bạn inject XSS từ lỗ hổng nào đó của FBKhông phải tự dưng mà có cái thông báo này. Hồi 2015 nở rộ mấy trò dark theme, xem ai vào tường nhà bạn nhiều nhất,... là miếng mồi rất ngon. Rất nhiều người đã dán code vào console chạy rồi. Kết quả là Bùm, mất tài khoản
View attachment 2107789
Nếu bạn có vấn đề về đọc hiểu, không phân biệt được quá khứ và hiện tại thì mình xin phép dừng tranh luận nhé. Chào bạn!Giờ bạn gửi cho mình bất cứ script nào đi mình mở console facebook lên chạy cho (đùng gửi script like, comment, share dạo các kiểu là đc, hack tài khoản thôi nhé), chưa kể đây là mình tự chạy script cho bạn chứ ko phải do bạn inject XSS từ lỗ hổng nào đó của FB
Hiện tại chỉ có cách "hack" duy nhất là tạo ra 1 trang web giả mạo rồi bằng mọi cách phải làm sao cho nạn nhân truy cập vào đó rồi tiếp tục dụ nạn nhân cung cấp tiếp user/pass thôi
Ngoài ra còn có cách ctrl+U copy toàn bộ source gửi cho hacker (cách này ko biết hiện tại còn sử dụng đc nữa hay ko).
Nhưng tất cả những cách trên đều ko được gọi là XSS hay CRFS nhé
Người ta ko hiểu thì giải thích lịch sự nhẹ nhàng, người ta cũng đâu có thượng đẳng gì với anh đâu? Chỗ này ko phải F33 mà anh bày tỏ quan điểm mạnh mẽ vậy?Nếu bạn có vấn đề về đọc hiểu, không phân biệt được quá khứ và hiện tại thì mình xin phép dừng tranh luận nhé. Chào bạn!
Bật được bảo mật 2 lớp là một lớp bảo vệ rất mạnh mẽ. Nhưng vấn đề là nhiều người sẽ ko nhận thức được, otp gửi về là phải giữ bí mật, ko được chia sẻ với bất kì ai.Theo mình hiểu:
1. Có trang web giả mạo nhưng hình ảnh giống thật 100%, mỗi đường link là "fake" nên người dùng ít chú ý cứ thế là lao vào.
2. Sau khi vào trang đó thì phải truy nhập, dùng pass, khai báo vài thứ ....
3. Kẻ gian thu thập thông tin đó và vào trang web thật để truy nhập, đổi pass, email, phương thức kiểm tra 2 lớp ...
4. Nếu OK thì chính thức mất TK.
Nhưng có thắc mắc: Nếu mình dùng bảo mật 2 lớp thì khi thay đổi như vậy thường các mã xác nhận được gửi đến email, hay số ĐT đã đăng ký. Mà email hay số ĐT đó thì kẻ gian chưa thể thay thế của mình ngay được nên ko thể hack, hay chiếm quyền TK đó được.
Nên khi nhận được thông báo về mã số xác thực thì hoặc ko làm gì hoặc truy nhập trang của mình để kiểm tra và đổi pass ...
Khi bạn ko biết trả lời ntn, hãy dùng mẫu câu này, thoát pressing ácNếu bạn có vấn đề về đọc hiểu, không phân biệt được quá khứ và hiện tại thì mình xin phép dừng tranh luận nhé. Chào bạn!
adu cao chiêu phếtCó một cách phishing nhưng tinh vi hơn, là kiểu giả pop-up login của facebook bằng HTML/CSS.
Như ảnh dưới này nó có thể thay đổi cả URL trên cái pop-up giả để trông giống y change pop-up window thật. Làm kỹ thì detect User Agent rồi show ra những giao diện khác nhau cho mỗi hđh/trình duyệt, thậm chí có cả toolkit lo việc đó luôn.
Cái này người có kiến thức vẫn có thể bị lừa, cứ nghĩ là lỗi hoặc lâu ngày không đăng nhập nó tự đăng xuất,...
Để phòng tránh thì khi thấy pop-up dạng này, mình nên tập thói quen kéo window con ra ngoài window trình duyệt khi đăng nhập, nếu kéo ra được và domain tin cậy thì có thể đăng nhập được.
View attachment 2117409
Facebook lỗ hổng đầy, mới năm trc còn vụ bị khai thác bypass 2fa code nên đừng thắc mắc làm gì, hacker nó nhiều cái ảo lắmTheo mình hiểu:
1. Có trang web giả mạo nhưng hình ảnh giống thật 100%, mỗi đường link là "fake" nên người dùng ít chú ý cứ thế là lao vào.
2. Sau khi vào trang đó thì phải truy nhập, dùng pass, khai báo vài thứ ....
3. Kẻ gian thu thập thông tin đó và vào trang web thật để truy nhập, đổi pass, email, phương thức kiểm tra 2 lớp ...
4. Nếu OK thì chính thức mất TK.
Nhưng có thắc mắc: Nếu mình dùng bảo mật 2 lớp thì khi thay đổi như vậy thường các mã xác nhận được gửi đến email, hay số ĐT đã đăng ký. Mà email hay số ĐT đó thì kẻ gian chưa thể thay thế của mình ngay được nên ko thể hack, hay chiếm quyền TK đó được.
Nên khi nhận được thông báo về mã số xác thực thì hoặc ko làm gì hoặc truy nhập trang của mình để kiểm tra và đổi pass ...
Anh rồng biết gì thì chia sẻ vài case cho ae tham khảo?Facebook lỗ hổng đầy, mới năm trc còn vụ bị khai thác bypass 2fa code nên đừng thắc mắc làm gì, hacker nó nhiều cái ảo lắm