在FaceBook上注册，除了用户名密码之外，还需要一个EMAIL，近日，国外安全研究员及PlayToWin创始人Stephen Sclafani公布了他发现的FaceBook的一个漏洞，通过该漏洞可以获取任意账户的电子邮件地址，并且获得了FaceBook奖励的3500美元。

如下图，Stephen Sclafani通过账户发送一封邀请注册的邮件，其中包含了点击注册的URL：

点击该网址后，用户将被重定向到一个注册页面,如下图：

注意地址栏的URL，其中包含两个参数“re”和“mid”,Stephen Sclafani发现修改参数可以公开另外一个用户的电子邮件地址。

http://www.facebook.com/r.php?re=245bf2da75118af20d917bdd34babddb&mid=59b63aG5af3107aba69G0G46

注意其中mid参数的值：59b63aG5af3107aba69G0G46

在上面的一段字符串里，用G作为分隔符，其中5af3107aba69对应的就是用户ID，更改该值可以查看到任意用户的EMAIL地址，攻击者可以编写一个自动脚本获取FaceBook的所有用户电子邮件地址，然后发送垃圾邮件或其他黑客攻击的目的。

thehacknews给出了编写自动化脚本的思路，如下：
1：获取FaceBook所有用户的目录，即：
http://www.facebook.com/directory/people/

2：收集Facebook用户的ID，可以通过Facebook公开的API提取：
http://graph.facebook.com/mohitkumar.thehackernews，可以看到用户ID为1251386282

3：修改存在漏洞的URL，将第二个G处修改为对应的ID：
http://www.facebook.com/r.php?re=245bf2da75118af20d917bdd34babddb&mid=59b63aG1251386282G0G46

4：通过脚本过滤页面，匹配电子邮件地址。

让我们再来回顾一下FaceBook的赏金计划，自2011年7月Facebook的赏金计划上线以来，已向几十个国家的百名黑客支付了赏金，金额超过了30万美元，最低奖金是500美元。

国内近年来，各漏洞提交平台也如雨后春笋一般成长了起来，越来越多的企业重视信息安全，虽然各平台对漏洞信息的奖赏可能还不能与黑市相比，在黑市上出售漏洞获利更多，这些漏洞被用作真正的黑客攻击而非防御性修复，但是从一定程度上也缩小了‘黑帽子黑客市场’的生存空间。

附国内各公司及第三方漏洞提交平台地址：

腾讯安全应急中心 http://security.tencent.com

网易安全中心    http://aq.163.com

京东安全应急响应中心    http://security.jd.com

百度安全响应中心    http://sec.baidu.com

360安全漏洞响应平台    http://vulreport.360.cn

人人安全应急响应中心    http://safe.renren.com/vul

乌云漏洞提交平台    http://www.wooyun.org