Nous aimons tous Facebook, mais savons-nous comment il est sûr? Apparemment, pas aussi sûre qu'elle devrait être, tel que décrit par le chercheur en sécurité indépendant Jack Whitton également connu comme fin1te. Le chercheur britannique vient de publier une histoire incroyable impliquant un bug XSS (cross-site scripting) et le contenu réseau de prestation de Facebook.
Le chercheur a rapporté le bogue en Juillet 2015 mais ne vont pas publique jusqu'à ce que il y a quelques jours.
Pourquoi Bugs XSS Are Dangerous?
Qu'est-ce qu'une vulnérabilité XSS? Une attaque XSS puissance a lieu lorsque les acteurs malveillants mettent en œuvre des scripts malveillants à des sites Web légitimes. Une vulnérabilité XSS est exploitée lorsque vous, par exemple, envoyer un contenu de site Web qui comprend embedded JavaScript malveillant. Le site sera ensuite inclure le code dans sa réponse.
Chaque fois qu'un site Web montre tout contenu qui provient d'une autre source (tel qu'un fichier téléchargé ou inclus dans une adresse URL), le site devrait filtrer les personnages suspects. Gardez à l'esprit que ces caractères incluent habituellement entre parenthèses et < > signes. Ces signes sont utilisés pour désigner des parties d'une page qui doit être gérée comme images, des liens, scripts, etc.
Le Bug XSS dans Photos.Facebook.com
Ce qui ne trouve fin1te? Le chercheur a trouvé un moyen de créer une URL sur photos.facebook.com, redirigée à allouer son fichier spécialement conçu à partir du réseau de distribution de contenu (CDN). En d'autres termes, il a réussi à télécharger un script caché au CDN, et la récupération à l'aide d'un lien innocemment masqué.
Une fois cliqué par un utilisateur, le script serait exécuté dans le navigateur comme il était un script officiel Facebook. Si l'utilisateur est connecté, le script conçu pourrait faire pratiquement tout ce que l'utilisateur le ferait - poster des messages, Photos, avoir accès à des données privées, etc.
Ayant à l'esprit la façon dont fonctionne un des réseaux sociaux, ces scripts pourraient facilement aller virale, dans un aspect négatif. Voilà pourquoi une attaque impliquant un bug XSS pourrait être appelé ver menace. Il peut être déployé pour se propager automatiquement sur tout réseau, transformant ainsi en un ver de réseau ou d'un virus.
Le bug XSS a été fixé presque immédiatement après le chercheur a signalé à Facebook. Cependant, il a attendu une demi-année pour le rendre public afin que Facebook ingénieurs de sécurité ont suffisamment de temps pour mettre en œuvre une meilleure solution. Il a été récompensé $7500.