对于跨境电商而言,facebook?账号被封是常有的事,原因之一可能是没有给?facebook?设置双重验证,今天就和大家科普一下什么是?facebook双重验证以及如何设置,另外,作为跨境卖家,我们还需要了解如何保护?facebook?账号更加稳定,这也是很多小伙伴一直很疑惑的点,今天就由龙哥我来为大家一一解答。
什么是facebook双重验证?
简单地说,这就像是我们绑定了手机接收验证码一样,可以在密码保护的基础上,为你的?facebook?帐户提供额外的安全保护。另外,当手机号不能登陆或者不能接收验证码时,多一种验证登陆方式也是有备无患的选择。
当系统发现你的账号出现异常时,如果你有设置双重验证,系统会通过双重验证,判断是否是你本人,这时候你会收到手机短信或其他的验证方式,只要你能完成系统的验证,就能避免被封号。
如何设置facebook双重验证?
无论你是用?facebook?账号、id?还是邮箱加密码的方式进行账号登录,都可以开启双重验证。当每次有人尝试从陌生浏览器或移动设备访问你的?facebook?时,你都会收到提醒,需要输入特殊的登录验证码或扫描二维码才能确认登录。开启?facebook?双重验证也很简单,只需要以下几步:
1、打开个人账户,点击设置-安全与登录
2、点击”使用双重验证”的编辑按钮
3、安全验证的方式有两种,这里选择“身份验证应用”
4.?使用第三方身份验证工具(例如duo或google身份验证器)进行双重验证操作
【facebook双重验证可选择手机或电脑操作 】
手机安装谷歌验证器app,使用qr功能扫描二维码进行验证,只需要去谷歌应用市场下载就可以使用;
电脑安装“谷歌验证器”插件,可以直接在电脑上进行双重验证扫描二维码的工作。
如何让facebook账号更稳定?
要让我们的facebook账号更加稳定安全,除了开启facebook双重验证之外,还要格外注意我们的设备和网络环境,如果一个人在同一台电脑上使用相同的浏览器登录多个不同的账号,那么这些账号就可能被关联起来被封禁。
这里就不得不提及我们跨境人都会用到的防关联浏览器了,常见的几款比如adspower、比特、multilogin、紫鸟,它们使用各种技术来隐藏用户的真实ip地址、操作系统、浏览器版本、屏幕分辨率等信息,并模拟其他人的互联网行为,以降低用户在网络上留下指纹的风险。
对于我们跨境电商而言,用像adspower这样的指纹浏览器,同时登录多个facebook账号也不怕有关联的风险,尤其是做店群和做社媒矩阵的卖家,adspower(adspower8797威尼斯老品牌官网-指纹浏览器,跨境电商超级浏览器,ads浏览器)就大有用处了,因为它不仅有窗口同步的功能,可以轻松地切换不同的facebook账号,还有里面的rpa机器人功能帮助自动化养号,摆脱点赞、评论这些重复的机械性操作,提高运营效率。
总结
当今社交媒体平台的重要性越来越大,特别是对于那些使用?facebook?的跨境人来说,facebook账号的重要性就不用龙哥我多说了吧,开启facebook双重验证和使用防关联浏览器双重防护账号安全,是我们跨境人必学的技能。
假设我们推广了一枚二维码, 用户扫面二维码就用通过手机浏览器进入点专页,而不是facebook app, 是不是觉得很麻烦呢??有没有办法解决呢?答案当然是有的!
一、取得facebook粉丝专页id 代码
首先我们必须取得facebook id 代码才能完成后面的动作,一般来说如果你的粉丝专页还没有取短网址的话, 你可以直接在网址列中就可以找到你的facebook粉丝专页的id(如图红框所示)
但如果你已经取了短网址, 那你必须在网址列输入 graph.facebook /{短网址名称}来找出你的profile id.?譬如你的短网址原本是 facebook /hzh1990, "hzh1990"就是你的短网址名称.?输入完后, 你就会在画面中看到看到一串代码, 找到"id"就对了. 特别注意, 有可能你看到的是分类id, 要像本图一样, 确认"username"是跟你的短网址名称相同那一区块的id才是对的.
二、取得二维码
如果要直接扫描用facebook app进粉丝专页, 我们的网址格式就要变为:?fb://profile/{id}。二维码网址框中输入fb://profile/{id},生成二维码就可以获得直接可以进facebook app的二维码啦!
?
?
?
转载于: www blogs /hzh1990/p/3729897.html
转载 freebuf /news/199057.html
*严正声明:本文仅用于教育和技术讨论目的,严禁用于非法用途。
*本文作者:voltcary,本文属 freebuf 原创奖励计划,未经许可禁止转载。
之前看过其他的二维码登陆劫持漏洞,有的地方写的不是很详细,花了不少时间去研究二维码的原理,才弄懂漏洞。为了照顾更多入门新手,以本人的理解重新总结一遍,二维码登陆原理不是这里的主题,不过有必要熟悉一下流程。
1.打开登陆地方,选择扫描二维码登陆,此时加载二维码;
2.客户端开始轮询,即与服务器建立长连接,来检测二维码状态;
3.用户打开手机扫描二维码,此时二维码为“scan”状态,网页向服务器不断向授权服务器轮询授权码;
4.用户手机看到“确认登陆”按钮,点击此按钮向授权服务器申请授权,允许此二维码授权,二维码为“confirm”状态(如果超时失效,为“timeout”状态);
5.用户点击“确认登陆”后,网页轮询到授权码,此时带授权码申请凭证,成功登陆网站,进入个人中心。
问题解构
利用长轮询实现微信网页版扫码登录:
blog.csdn /x2145637/article/details/52795809?
这里有个疑问,二维码几十秒就会过期,怎么办?可以自己写个浏览器插件实时提取出请求里面返回的状态参数,二维码会有一定的过期时间,过期会有对应的状态,监控此状态即可,比如状态参数securityid和二维码字符barcode,并更新securityid状态到本地,若timeout则刷新二维码;攻击者从本地将barcode当字符串生成自己的二维码图片放在自己的网站上,js一直轮询本地的securityid状态
这里用微信二维码作为例子,查看二维码状态情况;
访问 wx2.qq /,页面如下:
访问此页面时,其实浏览器与服务器之间会建立一个长连接,用于监控二维码状态。
监控接口为:
login.wx2.qq /cgi-bin/mmwebwx-bin/login?loginicon=true&uuid=yzm-nrusfq==&tip=1&r=-104081975&_=1550587274887
201相当于“scan”状态,手机扫描成功时二维码的状态,手机上点击后监控状态返回如下:
200相当于“confirm”状态,即用户点击确认返回的状态。并且直接返回凭证window.redirect_uri,此时只要复制此凭证到其它浏览器访问,直接可登陆网页版微信。
二维码链接为:
login.weixin.qq /qrcode/qe3ev-uopg==
即二维码字符为qe3ev-uopg==,当二维码过期,只需更新此字符qe3ev-uopg==即可,更新二维码字符接口:
login.weixin.qq /jsloginappid=wx782c26e4c19acffb&fun=new&lang=zh_cn
通过上述可实时更新二维码到自己网站,不用担心过期问题。
无“确认登陆”按钮
?第一种漏洞,用户扫描二维码直接登陆,没有任何提示,大家都知道,一般扫描二维码会有“确认登陆”等提示,如果没有此提示,容易被攻击者钓鱼伪造,诱导用户扫描,比如某app扫描二维码有红包领取,用户只要扫描则被劫持,导致账号被攻击者登陆。这里用乌云的案例演示。。
可以欺骗劫持进入来往用户的帐号: anquan.us/static/bugs/wooyun-2013-040673.html。
来往登陆二维码扫描时无任何提示,伪装为加好友的二维码,用户以为是加好友的二维码,,其实是登陆的二维码,当用户扫描时,攻击者那边可直接登陆用户账号,目前这种漏洞不多了,扫码时基本上都会有登陆等提示
登陆票据盗取
这个漏洞刚开始看的时候,以为是csrf,,因为大佬们把它归类为csrf类型,但是我看的时候发现与传统的csrf完全不一样,导致一直以csrf的思维去研究,被误导了。其实就是票据盗取,构造凭证url,从而劫持用户的账号。
登陆确认票据盗取,如果没有任何签名保护,攻击者可以直接点击获取的票据拼接链接进行登陆,其实这里应该是在轮询步骤出现漏洞,用户扫描二维码后,客户端不断轮询请求服务器,而此次只是验证某个令牌等参数来确认用户,只要获取此令牌参数值,则可以冒充用户。
取个乌云上的例子,比如 登陆确认请求如下:
szsupport.weixin.qq /cgi-bin/mmsupport-bin/qrcodelogin?username=*********&key=*************&clientversion=25030133&devicetype=android8&lan=zh_cn&uuid=axbiicc4susdsfnefknp&pass_ticket=debnjgnp2djnq1bmvhvgl+ezqqe70ry9iwb625/rt8rrnwcd3tlq3qxuxg5ypzhx
其中uuid为二维码字符,usename为微信号,uuid值怎么获取,文章前面部分已经讲过,usename改为要劫持用户的微信号,key值是未知的,这里只要知道key的值可通过此链接登陆目标微信号。
referer获取key思路:url跳转、引用站外图片处,把跳转的url、图片改为攻击者自己网站的url,只要受害用户点击 构造好的url,会跳转到攻击者网站,此时在攻击者服务器请求包的referer里,就会看到key值,当然如果跳转处url有key才可以,否则就去寻找带有key传递的地方,进行构造,只要能构造出向攻击者服务器发送一个请求即可。
上述获取key值之后,拼接登陆请求的链接,在浏览器里访问如下:
点击“确认登陆”直接登陆受害用户微信账号。
二维码csrf漏洞
为啥这里是csrf?上面却只是票据盗取,因为上面的“登陆确认”是不需要用户触发,构造url后由攻击者直接触发。这里的csrf漏洞是因为攻击者无法代替用户直接触发“登陆确认“按钮,必须以用户自己的身份触发,类似平常的增加、删除的csrf,此处只是针对“登陆确认”的csrf,当然,这里还需要用户先扫描二维码,而不能让用户直接触发“登陆确认”的请求,如果点击二维码链接就相当于扫描二维码的话,可直接构造poc。
当用户扫描二维码,构造一个隐藏iframe表单csrf poc,用户扫描二维码时,此poc自动提交“确认登陆”的请求,造成csrf漏洞,这样说大家都能看懂吧。这里我网上找了个例子做演示。
挖洞经验 | facebook的手机扫码登录漏洞 cloud.tencent /developer/article/1044256
解释一下这个案例,洞主把“确认登陆”的链接抓包出来,用浏览器打开此链接,点击“allow login”抓包,构造csrf的poc,此为第一个poc,由于缺少用户扫码步骤,文章前面我提到过,用户要先扫描二维码,再触发“allow login”的csrf,因此才有了第二个poc,增加了扫码的步骤。
*本文作者:voltcary,本文属 freebuf 原创奖励计划,未经许可禁止转载。
还没有评论,来说两句吧...