Обнаружена уязвимость в Facebook

image

Теги: Facebook, уязвимость, новость

Потенциальный злоумышленник может провести XSS атаку.

Независимые исследователи обнаружили интересную брешь в безопасности Facebook, позволяющую злоумышленнику провести атаку межсайтового скриптинга. Согласно утверждению исследователей, уязвимость существует из-за некорректной работы функционала отображения уменьшеной копии изображения на стене пользователя.  

Независимые эксперты безопасности поясняют, что когда пользователь публикует на своей стене ссылку на изображение, Facebook автоматически добавляет уменьшенную копию изображения рядом с публикацией. Для проведения этой операции используется определенный User-Agent и домен, с которого идет запрос. Используя эту особенность работы социальной сети, роботу Facebook можно предоставить доступ к JPEG изображению, а пользователям – к ссылке с произвольным скриптом. Также исследователи отмечают, что Google+ использует аналогичную технологию.  

Более детальную информацию можно найти по адресу: www.blackhatacademy.org/security101/index.php?title=Facebook#Content_Forgery  


или введите имя

CAPTCHA
Вася Пупкин
10-10-2011 13:24:32
не очень впечатляет, но работает.. вся фишка в игре со стримами на php, pic.jpg - php скрипт который может выводить в поток картинку, а может выполнять код - в зависимости от user-agent, xss тут и не пахнет так как в любом случае выполнение кода будет идти не из домена фейсбука, а из домена сайта с "картинкой"
0 |