CYBER NEWS

Ein XSS Fehler gefunden (und Feste) in Photos.Facebook.com

facebook-stforumWir alle lieben Facebook aber wissen wir nicht, wie sicher es ist? Offenbar, nicht so sicher, wie es sein sollte, as disclosed by the independent security researcher Jack Whitton also known as fin1te. The UK researcher just published an unbelievable story involving an XSS bug (cross-site-scripting) and Facebook’s content delivery network.

The researcher reported the bug back in July 2015 but didn’t go public just until few days ago.

Why Are XSS Bugs Dangerous?

What is an XSS vulnerability? Ein XSS betriebene Angriff findet statt, wenn böswillige Akteure bösartige Skripte auf legitime Websites implementieren. Eine XSS-Schwachstelle ausgenutzt, wenn Sie, beispielsweise, Bitte senden Sie eine Website-Inhalte, die eingebettete schädliche JavaScript enthält. Die Website beinhaltet später den Code in ihrer Antwort.

Every time a website shows any content that comes from another source (such as an uploaded file or included in a URL address), the website should filter out any suspicious characters. Keep in mind that such characters usually include brackets and < > signs. Such signs are used to denote parts of a page that should be managed as images, Links, Skripte, etc.

The XSS Bug in Photos.Facebook.com

What did fin1te find? The researcher found a way to create a URL on photos.facebook.com, redirected to allocate his specially crafted file from the content delivery network (CDN). Mit anderen Worten, he succeeded in uploading a hidden script to the CDN, and retrieving it with the help of an innocently masqueraded link.

Once clicked by a user, the script would run in the browser like it was an official Facebook script. If the user is logged in, the crafted script could do practically anything the user would do – post messages, Fotos, get access to private data, etc.

Having in mind how a social network works, such scripts could easily go viral, in a negative aspect. That is why an attack involving an XSS bug could be referred to as a worm-like threat. It can be deployed to spread itself automatically across any network, thus turning into a network worm or virus.

The XSS bug was fixed almost immediately after the researcher reported it to Facebook. Dennoch, he waited half a year to make it public so that Facebook security engineers have enough time to implement a better solution. He was awarded $7500.

Milena Dimitrova

Milena Dimitrova

Ein inspirierter Schriftsteller und Content-Manager, der seit Anfang an mit SensorsTechForum gewesen. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...