研究人员发布创建Facebook蠕虫的POC
据报道,研究人员向Facebook提交其移动端的点击劫持漏洞,Facebook驳回了漏洞,研究人员就在自己博客上写了关于该漏洞的详解,发了关于利用该漏洞创建Facebook蠕虫的POC。后经过媒体联系,Facebook表示已经修补了该漏洞。
波兰安全研究人员发布了可用于创建功能齐全的Facebook蠕虫 POC,该代码是利用了Facebook中的一个漏洞,且很多垃圾邮件已经在野滥用该漏洞。漏洞存在于Facebook移动端的分享对话框/弹出框中,桌面版不受影响。移动分享对话框有一个点击劫持漏洞,攻击者可以通过iframe标签利用该漏洞在Facebook上发布链接
昨天在Facebook上发生了一个非常恼人的垃圾邮件,我的很多朋友发了一个链接,这个链接的站看起来像是在AWS桶上托管的网站——一个看起来有趣的法国漫画网站,谁看了不会点击?
单击链接后,AWS托管的站点出现。它要求验证是否是16岁或以上(法语)才能访问受限制的内容。点击按钮后,被重定向到了一个有趣的漫画(和很多广告)的页面。然而,与此同时,您刚刚点击的链接就会出现在Facebook上。
研究人员将漏洞成因归结到Facebook故意忽略"X-Frame-Options"调用特定API。根据行业认可的MDN Web标准,站点使用X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>、<iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
研究人员报告给Facebook,Facebook却拒绝修复它。他说:“正如预期的那样,Facebook拒绝了这个漏洞,尽管我试图强调这有安全隐患。”
“Facebook表示,点击劫持是安全问题,但必须造成攻击者能以某种方式更改帐户状态才算有问题(例如,禁用安全选项或删除帐户)。”
研究人员认为,这种技术允许攻击者轻松传播恶意软件或网络钓鱼链接。后经过ZDnet与Facebook联系,Facebook是为了更好地用户体验才故意忽略"X-Frame-Options"调用特定API,不过他们已对这个漏洞进行了修补。
关于作者
评论0次