Hacking pengguna Facebook hanya dari chat box menggunakan beberapa kerentanan | Ini Blog ku - Hacking News
Ini Blog Ku - Hacking News

Apr 17, 2013

Hacking pengguna Facebook hanya dari chat box menggunakan beberapa kerentanan

Nir Goldshlager, Pendiri / CEO Keamanan istirahat dikenal untuk menemukan kelemahan serius di Facebook sekali lagi pada The Hacker News untuk berbagi yaitu temuan barunya Yang tersimpan Cross-site Scripting (XSS) di Facebook Chat, Check In dan Facebook Messenger.
Yang tersimpan Cross-site Scripting (XSS) adalah jenis yang paling berbahaya dari Cross Site Scripting. Aplikasi web dimana kode disuntikkan secara permanen disimpan pada server sasaran, seperti dalam database, dalam forum pesan, log pengunjung, kolom komentar, dll

1) Yang tersimpan XSS Dalam Facebook Chat: Kerentanan ini dapat digunakan untuk melakukan sejumlah serangan berbasis web, termasuk, Pembajakan browser lain pengguna, Menangkap informasi sensitif dilihat oleh pengguna aplikasi, kode berbahaya dijalankan oleh browser pengguna dll

Ketika pengguna mulai pesan baru dalam facebook yang memiliki link dalam, preview GUI muncul untuk posting tersebut. GUI digunakan untuk menyajikan posting link menggunakan parameter yaitu lampiran [params][title],lampiran[params][urlInfo][akhir], yang tidak benar-benar disaring untuk link yang valid oleh Facebook.
Facebook Hacking
Untuk bukti dari konsep, Goldshlager mengeksploitasi ini dengan cara cacat, bahwa setiap kali korban klik pada pesan ini berbahaya di Facebook Chat, XSS Yang tersimpan akan mulai berjalan pada klien mereka, seperti yang ditunjukkan:
facebook ekxploit
2) XSS Yang tersimpan Di Facebook Check in: Yang lainnya XSS Yang tersimpan utama dan menarik yang Nir dilaporkan adalah di Facebook Check in layar. Untuk mengeksploitasi celah ini penyerang perlu terlebih dahulu membangun lokasi baru dalam Facebook Pages dan kemudian, penyerang harus mengubah pengaturan di lokasi baru mereka. Ketika korban kemudian memutuskan untuk pergi ke tempat penyerang telah, seorang XSS Yang tersimpan akan menjalankan sisi klien.Facebook

3) XSS Yang tersimpan Di Facebook Messenger (Windows):. 3 dan serius cacat dalam Facebook mampu menyuntikkan XSS Payload Disimpan dalam Facebook untuk Windows. Setiap kali korban masuk ke rekening mereka di Messenger, kode XSS Yang tersimpan akan mengeksekusi pada akhir korban.

Bugs dilaporkan ke Facebook bulan lalu oleh Nir dan sudah ditambal oleh tim keamanan Facebook

sources: the hacker news

Artikel Terkait

0komentar:

Post a Comment