Facebook este vulnerabil la XSS si SQL Injection
5
O persoana ce se ocupa cu securitatea web a scos la iveala cateva vulnerabilitati web in doua dintre cele mai populare aplicatii de pe Facebook.Aceeasi persoana a afirmat ca a descoperit vulnerabilitati asemanatoare ce afecteaza si alte aplicatii, incluzand si vulnerabilitati de tip SQL Injection.
Autorul acestor descoperiri se ascunde sub nickul „theharmonyguy” si se axeaza pe testarea securitatii retelelor sociale. Conform acestuia, el va publica vulnerabilitatile in luna septembrie a aplicatiilor de top de pe Facebook, folosind modelul initiativei lui Aviv Raff`s cu „Month Twitter Bugs”.
In timpul lunii august, binecunoscutul Aviv Raff in domeniul testarii securitatii web a descoperit diferite vulnerabilitati in aplicatii Twitter avand scopul de a lansa un nou tip de vulnerabilitati , ce le documentase cu cateva luni inainte. Denumite „Cross-Web 2.0 Scripting”, noua tehnica include compromiterea securitatii unui website exploatand o vulnerabilitate intr-o aplicatie „third-party”, care este autorizata sa foloseasca API`urile sale.
Primele victime ale lui TheHarmonyGuy au fost „FarmiVille” si „Causes”.Aceste populare aplicatii sunt cele mai folosite aplicatii de pe Facebook avand impreuna aproximativ 60 de milioane de vizitatori activi.
Ambele aplicatii aveau posibilitatea de a lansa atacuri de tip „Cross Site Scripting” (XSS), putand afisa informatii private sau chiar propaga atacuri de tip worm.
Acesta a afirmat ca el anunta creatorii applicatiilor cu 24 de ore inainte de a publica detaliile vulnerabilitatilor de pe acestea. Pana acum , echipa FarmVille si cea a aplicatii Causes s-au comportat exemplar, reactionand imediat la problemele sugerate de persoana ce se afla in spatele nickului theharmonyguy.
Este de admirat o astfel de initiativa, deoarece astfel publicul este avertizat de riscul ce si-l asuma asupra pastrarii confidentialitatii in aplicatiile ce au aplicatii „third-party”.
„If you are the owner of a service which provides an API, fixing your own website or application vulnerabilities might not be enough”
s-ar putea eu sa gresesc, dar daca cineva rau voit vrea sa imi face publice datele personale pe care le-am folosit pe facebook il cer in casatorie. dar cum eu nici senzatia ca inteleg cum pot fi afectat nu o am, nu abordez probleme de genul respectiv.
totusi, ma astept sa apara prin ziare ca acest theharmonyguy e noul trend in materie de hacking si distrugeri si uite cate probleme creaza(ca in ultimul timp se cam intampla).
Siteu` smecherului : http://theharmonyguy.com/
@Marius Poti fi afectat astfel: din moment ce tu esti inregistrat pe facebook inseamna ca ai incredere in ei. Avand incredere in ei probabilitatea sa dai click pe un link care-ti vine in mail ce contine facebook.com e destul de mare. Ei bine existand sqli sau xss in facebook.com, un hacker poate injecta in acel link un cod malitios prin care iti poate fura cookie-urile de la contul tau de e-mail, avand astfel acces la toate mail-urile si contactele tale si de aici totul depinde de imaginatia hackerului 😀
^ multumesc pentru lamuriri.
judger a bagat spaima in noi :-ss
[…] in cazul in care extensiile respective sunt foarte populare, un exemplu recent s-a intamplat la Facebook, unde primele extensii din top dupa numarul de utilizatori erau vulnerabile la XSS si SQL […]