本文分享的是通过ip轮换结合暴力破解方法禁用facebook新创建的未确认用户，此前在2014年facebook曾针对该漏洞做过修复，但是由于修复策略不够完善，导致可以用ip轮换方法再次绕过这种防护，形成对任意新创建未确认facebook用户的间接禁用攻击。
早前的账户创建确认漏洞
在2014年facebook曾针对该漏洞做过修复。
当时的漏洞情况是这样的：如果你用个人邮箱注册一个facebook账户，创建完成之后，facebook会向你的邮箱发送一个5位数确认码邮件，但出于个人邮箱被恶意注册的安全原因考虑，facebook还会在邮件末尾附加上一个“未曾注册过facebook”的选项按钮，以便让那些个人邮箱被恶意注册的用户提交上报facebook。
如下：
提交之后，会产生以下链接：
https://www.facebook.com/confirmemail.php?e=victim@mail.com&c=5-digit-code&report=1
移动端对应的是：
https://m.facebook.com/confirmemail.php?e=victim@mail.com&c=5-digit-code&report=1&message=1
漏洞原因在于，其中的 c 参数，也就是facebook发送过来的一个5位数确认码，可以被攻击者暴力破解猜测到，因此可导致攻击者用此种方式去禁用任何未及时确认的facebook新注册账户。该漏洞已于2014年10月被facebook修复。
现在存在的问题
通过测试分析，作者发现该路径下设置了访问频率限制（rate limit），针对5位数确认码做暴力猜解时会被facebook阻拦掉。如下：
我猜想facebook之前的修复策略如果是基于ip的限制方法的话，我可以通过变换ip地址来进行暴力猜解啊。果然，当我变换新的ip地址再进行进行暴力猜解之后，facebook完全不会实施阻拦。
为了更顺利的实施这种暴力猜解工作，需要对每次请求的ip地址都做出变化，也即ip轮换。为了综合利用ip轮换+暴力猜解，我谷歌了一些在线资料，并最终用luminati+burp搭建了一个测试环境，完美绕过了facebook后端限制，并有效地猜测出facebook5位数确认码，实现对facebook未确认账户的禁用。
漏洞影响
1、对于受害者用户来说，如果攻击者以此方式禁用了它的facebook账户，那么由于其邮箱地址已经被facebook列入黑名单，所以受害者在今后就无法用该邮箱注册facebook账户了；
2、另外，如果攻击者知道受害者用户的确切注册邮箱，即使用户已经经过了facebook确认，但一样能通过此种方式去举报受害者用户邮箱，形成账户滥用提交，后期可由facebook对受害者的facebook账户实现禁用，整个过程无需与用户进行任何交互。
漏洞上报及处理进程
2019.6.30 : 漏洞初报2019.7.3 : facebook深入确认2019.8.23: facebook完成修复2019.8.23 : facebook奖励了$1000
相关文章教程推荐：web服务器安全
以上就是功能强大的ip轮换与暴力猜解技术的详细内容。