Zuhause > Cyber ​​Aktuelles > Ein XSS-Fehler gefunden (und Feste) in Photos.Facebook.com
CYBER NEWS

Ein XSS Fehler gefunden (und Feste) in Photos.Facebook.com

facebook-stforumWir alle lieben Facebook aber wissen wir nicht, wie sicher es ist? Offenbar, nicht so sicher, wie es sein sollte, wie vom unabhängigen Sicherheitsforscher bekannt gegeben Jack Whitton, auch bekannt als fin1te. Der britische Forscher hat gerade eine unglaubliche Geschichte mit einem XSS-Fehler veröffentlicht (Cross-Site-Scripting) und das Content Delivery Network von Facebook.

Der Forscher hat den Fehler bereits im Juli gemeldet 2015 aber erst vor wenigen Tagen an die Öffentlichkeit gegangen.

Warum sind XSS-Bugs gefährlich??

Was ist eine XSS-Sicherheitslücke?? Ein XSS betriebene Angriff findet statt, wenn böswillige Akteure bösartige Skripte auf legitime Websites implementieren. Eine XSS-Schwachstelle ausgenutzt, wenn Sie, beispielsweise, Bitte senden Sie eine Website-Inhalte, die eingebettete schädliche JavaScript enthält. Die Website beinhaltet später den Code in ihrer Antwort.

Jedes Mal, wenn eine Website Inhalte anzeigt, die aus einer anderen Quelle stammen (wie eine hochgeladene Datei oder in einer URL-Adresse enthalten), die Website sollte alle verdächtigen Zeichen herausfiltern. Denken Sie daran, dass solche Zeichen normalerweise Klammern und . enthalten < > Zeichen. Solche Zeichen werden verwendet, um Teile einer Seite zu kennzeichnen, die als Bilder verwaltet werden sollen, Links, Skripte, etc.

Der XSS-Fehler in Photos.Facebook.com

Was hat fin1te gefunden?? Der Forscher fand einen Weg, eine URL auf photos.facebook.com zu erstellen, umgeleitet, um seine speziell gestaltete Datei aus dem Content Delivery Network zuzuordnen (CDN). Mit anderen Worten, es gelang ihm, ein verstecktes Skript auf das CDN hochzuladen, und mit Hilfe eines unschuldig getarnten Links wiederzufinden.

Einmal von einem Benutzer angeklickt, das Skript würde im Browser laufen, als wäre es ein offizielles Facebook-Skript. Wenn der Benutzer eingeloggt ist, das erstellte Skript könnte praktisch alles tun, was der Benutzer tun würde – Nachrichten posten, Fotos, Zugriff auf private Daten erhalten, etc.

Denken Sie daran, wie ein soziales Netzwerk funktioniert, solche Skripte könnten leicht viral gehen, in einem negativen Aspekt. Aus diesem Grund könnte ein Angriff mit einem XSS-Bug als a . bezeichnet werden wurmartige Bedrohung. Es kann so bereitgestellt werden, dass es sich automatisch über jedes Netzwerk verteilt, so wird es zu einem Netzwerkwurm oder Virus.

Der XSS-Fehler wurde fast sofort behoben, nachdem der Forscher ihn Facebook gemeldet hatte. Dennoch, er hat ein halbes Jahr gewartet, um es öffentlich zu machen, damit die Facebook-Sicherheitsingenieure genug Zeit haben, eine bessere Lösung zu implementieren. Er wurde ausgezeichnet $7500.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau