We houden allemaal van Facebook, maar weten we hoe veilig het is? Blijkbaar, niet zo veilig als het zou moeten zijn, zoals bekendgemaakt door de onafhankelijke beveiligingsonderzoeker Jack Whitton ook bekend als fin1te. De Britse onderzoeker heeft zojuist een ongelooflijk verhaal gepubliceerd over een XSS-bug (cross-site-scripting) en het content delivery netwerk van Facebook.
De onderzoeker meldde de bug al in juli 2015 maar ging pas een paar dagen geleden naar de beurs.
Waarom zijn XSS-bugs gevaarlijk??
Wat is een XSS-kwetsbaarheid?? Een XSS-aangedreven aanval vindt plaats wanneer kwaadaardige acteurs voeren kwaadaardige scripts om legitieme websites. Een XSS kwetsbaarheid wordt misbruikt wanneer u, bijvoorbeeld, stuur dan een website-inhoud die ingesloten kwaadaardige JavaScript omvat. De website zal later ook de code in haar antwoord.
Elke keer dat een website inhoud toont die van een andere bron komt (zoals een geüpload bestand of opgenomen in een URL-adres), de website moet alle verdachte tekens eruit filteren. Houd er rekening mee dat dergelijke tekens meestal haakjes en bevatten < > tekens. Dergelijke tekens worden gebruikt om delen van een pagina aan te duiden die als afbeeldingen moeten worden beheerd, koppelingen, scripts, etc.
De XSS-bug in Photos.Facebook.com
Wat heeft fin1te gevonden?? De onderzoeker vond een manier om een URL te maken op photos.facebook.com, omgeleid om zijn speciaal vervaardigde bestand toe te wijzen aan het netwerk voor inhoudslevering (CDN). Met andere woorden, hij slaagde erin een verborgen script naar het CDN te uploaden, en het ophalen met behulp van een onschuldig gemaskerde link.
Eenmaal aangeklikt door een gebruiker, het script zou in de browser worden uitgevoerd alsof het een officieel Facebook-script was. Als de gebruiker is ingelogd, het vervaardigde script kan praktisch alles doen wat de gebruiker zou doen - berichten plaatsen, foto's, toegang krijgen tot privégegevens, etc.
In gedachten hebben hoe een sociaal netwerk werkt, dergelijke scripts kunnen gemakkelijk viraal gaan, in een negatief aspect. Dat is de reden waarom een aanval met een XSS-bug kan worden aangeduid als een wormachtige bedreiging. Het kan worden ingezet om zichzelf automatisch over elk netwerk te verspreiden, waardoor het een netwerkworm of -virus wordt.
De XSS-bug werd vrijwel direct verholpen nadat de onderzoeker dit aan Facebook had gemeld. Niettemin, hij wachtte een half jaar om het openbaar te maken, zodat de beveiligingsingenieurs van Facebook genoeg tijd hebben om een betere oplossing te implementeren. Hij werd bekroond $7500.