影响Facebook的未分割的安全漏洞

来自葡萄牙的Web安全研究员已经发现了几种影响Facebook的漏洞,他认为是严重的,但是没有’令人信服的是令人信服的成功,所以他与公众分享了信息。

WebSegura.net的安全研究员David Sopas有 记录 存在开放文件上传漏洞,允许攻击者通过广告/工具/ text_overlay工具将攻击者用任何类型的扩展到Facebook服务器上传文件。

“用户可以上传可执行文件或只使用Facebook服务器作为文件存储库。在我的概念上我上传了一个批处理文件,没有任何限制,我可以随时随地访问它,只要我’m登录我的帐户,” he noted.

他还发现了几种反映的文件名下载漏洞,这可能被滥用,以欺骗用户相信他们正在下载文件–例如恶意软件–来自可信的Facebook域。

他发现的rfd缺陷 最近 在他看来,比以前的意见更危险,如“它缺少任何类型的身份验证,如Access_Token,API_KEY甚至在Facebook上的帐户。”

所有潜在的受害者都需要做出损害它来点击自动下载.bat文件专门制作浏览器的链接–IE,Chrome,Opera,Android浏览器或Chrome for Android–并打开一个恶意页面。

分享这个