Post မစခင္ ကၽြန္ေတာ္တစ္ခုေလာက္အရင္ေၿပာပါရေစ..... အရင္ကလည္းေၿပာဘူးပါတယ္.... ေၿပာတယ္ဆိုတာထက္ေတာင္းပန္ခ်င္တာပါ..... ကၽြန္ေတာ္ Post တစ္ခုကိုေရးၿပီးလို႔ Publish လုပ္လိုက္ၿပီဆိုရင္
Ref : Ko Alpha
An error occurred while trying to save or publish your post. Please try again. Ignore warning
ဆိုၿပီးေတာ့ေပၚလာပါတယ္... ကၽြန္ေတာ္လည္း မရမခ်င္း Publish ကိုဆက္တိုက္ႏွိပ္လိုက္တာ အၿပင္မွာက် ပလံုစီေနေအာင္ထပ္ေနပါေလေရာလားဗ်ာ
အဲတာေတြက Facebook Notification မွာမ်က္စိေနာက္ေလာက္ေအာင္႐ႈပ္ေနတယ္ဆိုရင္ေတာင္းပန္ပါတယ္ဗ်ာ
ကၽြန္ေတာ့PageကNotification ေတြကိုမ်က္စိေနာက္လို႔နဲ႔သူတယ္...တစ္ေယာက္ေတာ့ ထြက္သြားၿပီး
ေနာက္ကိုမၿဖစ္ေအာင္ၾကိဳးစားပါ့မယ္... Left Group ေတာ့မလုပ္လိုက္ပါနဲ႔ ..ဟီး :P
ကဲေလရွည္ေနၿပီ..ဖတ္ၾကည့္လိုက္ၾကပါဦးဗ်ာ...ဗဟုသုတုေပါ့ :)
--------------------------------------------------x--------------------------------------------------------
--------------------------------------------------x--------------------------------------------------------
ဒီပိုစ့္မွာေတာ့ facebook က fixed ျပန္လုပ္ျပီးသား bug တစ္ခု အေၾကာင္းကို တင္ျပေပးသြားမွာျဖစ္ပါတယ္
ဒီ bug ကို ရွာေတြ ့ခဲ့တဲ ့ Fin1te ဆိုတဲ့ ငနဲကေတာ့ US$ 20,000 ရသြားတယ္ဗ်။
အရင္ဆံုး သေဘာတရားကို ေျပာရမယ္ဆိုရင္ေတာ့
fb က သင့္ရဲ ့account တစ္ခုအတြက္ link လုပ္ဖို ့ mobile နံပါတ္ တစ္ခုေတာင္းတယ္ဗ်
အဲ့ဒီ mobile ရဲ ့ SMS ကေနတဆင့္ fb news feed ေတြ post ေတြ ကိုလည္း update ရသလို fb ကို login ၀င္တဲ့အခါ email address အစား အဲ့ ဖုန္းနံပါတ္ကို လည္း အသံုးျပဳလို ့ရတယ္ ဆိုတဲ့ အခ်က္ကေန အစ ဆြဲထုတ္ထားတဲ့ bug ပဲဗ်။
အဲ့ bug ရဲ ့အစကေတာ့ /ajax/settings/mobile/confirm_phone.php ရဲ ့အဆံုးပိုင္းနားမွာဗ်
account နဲ ့ phone no ခ်ိတ္တဲ့ ( verification code received via your mobile ) ရဲ ့ profile_id
က main ပဲ..
profile_id က account တစ္ခုကို account ပိုင္ရွင္ထည့္သြင္းထားတဲ့ mobile no တစ္ခုနဲ ့set လုပ္ျပီးသား အဲ့ဒါကို account ပိုင္ရွင္ မသိလိုက္ သတိမထားမိလိုက္ပဲ verification လုပ္တဲ့ mobile no ကို ေျပာင္းလို ့ရပါတယ္။
( ေအာက္မွာ ဆက္လက္ေဖာ္ျပထားေသာ exploit မ်ားသည္ မူလ bug ကို exploit လုပ္ထားသူ Fin1te ရဲ ့ UK မွ ျပဳလုပ္ပံု အဆင့္ဆင့္ျဖစ္ပါသည္ )
အရင္ဆံုး facebook SMS short code ျဖစ္တဲ ့ "F" ဆိုတဲ့ letter ကို 32665 သို ့ Send လုပ္လုိက္ပါ
ဒါဆိုရင္ေတာ့ character ၈ခု ပါတဲ ့ verification code တစ္ခု ကို receive ျပန္ရမွာျဖစ္ပါတယ္
ျပီးရင္ေတာ့ ဒီေနရာက code ကို ေအာက္က ေပးထားတဲ့ ပံုထဲကအတိုင္း modify လုပ္သြားတာပါ
profile_id element ထဲမွာ ကိုယ္ redirect လုပ္ခ်င္တဲ့ ကိုယ့္ mobile no ကို ျဖည့္သြားတာပါ။
ဒါဆိုရင္ေတာ့ မူလ user ရဲ ့value of __user နဲ ့ ကြ်န္ေတာ္တို ့ခုနက edit လုပ္ျပီး ျပင္လိုက္တဲ့ profile_id နဲ ့မတူေတာ့ဘူးဆိုတာကို ေတြ ့ရတယ္ခင္ဗ်။
ျပီးရင္ေတာ့ SMS နဲ ့တဆင့္ Confirmation ရမွာျဖစ္ပါတယ္
ဒီကေနမွတဆင့္ password reset ကို ေျပာင္းလဲထားတဲ့ mobile no ရဲ ့ SMS ကတဆင့္ reset ခ်သြားတာပါ။
ေနာက္ထပ္ SMS တစ္ေစာင္ ထပ္ေရာက္ပါေသးတယ္ အဲ့ဒါကေတာ့ password reset code ပဲျဖစ္ပါတယ္
ဒါဆိုရင္ေတာ့ ရရွိလာတဲ့ code ကို ျဖည့္ျပီး password အသစ္ ကိုေပးလိုက္မယ္ဆိုရင္
ပြဲသိမ္းသြားျပီေပါ့....
ဒီ bug ကို ရွာေတြ ့ခဲ့တဲ ့ Fin1te ဆိုတဲ့ ငနဲကေတာ့ US$ 20,000 ရသြားတယ္ဗ်။
အရင္ဆံုး သေဘာတရားကို ေျပာရမယ္ဆိုရင္ေတာ့
fb က သင့္ရဲ ့account တစ္ခုအတြက္ link လုပ္ဖို ့ mobile နံပါတ္ တစ္ခုေတာင္းတယ္ဗ်
အဲ့ဒီ mobile ရဲ ့ SMS ကေနတဆင့္ fb news feed ေတြ post ေတြ ကိုလည္း update ရသလို fb ကို login ၀င္တဲ့အခါ email address အစား အဲ့ ဖုန္းနံပါတ္ကို လည္း အသံုးျပဳလို ့ရတယ္ ဆိုတဲ့ အခ်က္ကေန အစ ဆြဲထုတ္ထားတဲ့ bug ပဲဗ်။
အဲ့ bug ရဲ ့အစကေတာ့ /ajax/settings/mobile/confirm_phone.php ရဲ ့အဆံုးပိုင္းနားမွာဗ်
account နဲ ့ phone no ခ်ိတ္တဲ့ ( verification code received via your mobile ) ရဲ ့ profile_id
က main ပဲ..
profile_id က account တစ္ခုကို account ပိုင္ရွင္ထည့္သြင္းထားတဲ့ mobile no တစ္ခုနဲ ့set လုပ္ျပီးသား အဲ့ဒါကို account ပိုင္ရွင္ မသိလိုက္ သတိမထားမိလိုက္ပဲ verification လုပ္တဲ့ mobile no ကို ေျပာင္းလို ့ရပါတယ္။
( ေအာက္မွာ ဆက္လက္ေဖာ္ျပထားေသာ exploit မ်ားသည္ မူလ bug ကို exploit လုပ္ထားသူ Fin1te ရဲ ့ UK မွ ျပဳလုပ္ပံု အဆင့္ဆင့္ျဖစ္ပါသည္ )
အရင္ဆံုး facebook SMS short code ျဖစ္တဲ ့ "F" ဆိုတဲ့ letter ကို 32665 သို ့ Send လုပ္လုိက္ပါ
ဒါဆိုရင္ေတာ့ character ၈ခု ပါတဲ ့ verification code တစ္ခု ကို receive ျပန္ရမွာျဖစ္ပါတယ္
ျပီးရင္ေတာ့ ဒီေနရာက code ကို ေအာက္က ေပးထားတဲ့ ပံုထဲကအတိုင္း modify လုပ္သြားတာပါ
ဒါဆိုရင္ေတာ့ မူလ user ရဲ ့value of __user နဲ ့ ကြ်န္ေတာ္တို ့ခုနက edit လုပ္ျပီး ျပင္လိုက္တဲ့ profile_id နဲ ့မတူေတာ့ဘူးဆိုတာကို ေတြ ့ရတယ္ခင္ဗ်။
ျပီးရင္ေတာ့ SMS နဲ ့တဆင့္ Confirmation ရမွာျဖစ္ပါတယ္
ဒီကေနမွတဆင့္ password reset ကို ေျပာင္းလဲထားတဲ့ mobile no ရဲ ့ SMS ကတဆင့္ reset ခ်သြားတာပါ။
ဒါဆိုရင္ေတာ့ ရရွိလာတဲ့ code ကို ျဖည့္ျပီး password အသစ္ ကိုေပးလိုက္မယ္ဆိုရင္
ပြဲသိမ္းသြားျပီေပါ့....
Myanmar Kyat Converter
Comments (0)
Post a Comment