首页
论坛
专栏
课程

第三方网站可窃取无防备用户的个人数据?Facebook刚刚堵上漏洞

Editor 发布于 哈林科学院 2019-07-18 09:49

今年 5 月的时候,安全公司 Imperva 曝光了 Facebook 的一个 bug,其导致第三方网站可以读取毫无戒心的 Facebook 用户(及其好友)的私人信息。万幸的是,该漏洞现已被成功修复。此前,安全研究员 Ron Masas 发现了 Facebook 的跨站请求伪造(CSRF)漏洞,意味着另一个网站可以通过代码查询的方式,接触到 Facebook 的用户数据。


视频截图


为了利用该漏洞,站点可以嵌入 iFrame(站点内的站点)来“吸取”用户的数据:


当已登录的 Facebook 用户访问带有恶意代码的网站,并在任意位置点击时触发脚本。


其通过向该社交网络发送查询来收集用户数据,例如‘用户是否喜欢跑步?’、或‘是否有朋友在加拿大?’


据悉,Masas 是在研究 Chrome 漏洞时发现的 Facebook bug,攻击者可借此窃取 Facebook 用户的私人信息。


可怕的是,即便设置了仅对自己可见,其好友的数据仍可能被这只黑爪给触及。比如通过更加复杂的查询,就可以找到有关某人的宗教信仰、或生活在特定区域的朋友圈等信息。


Facebook Proof of Concept(via)


视频地址:


//v.youku.com/v_show/id_XMzkxODkyNDc4OA==.html?spm=a1z3jc.11711052.0.0&isextonly=1


对于此事,Facebook 发言人在致外媒 TechCrunch 的回复中写到:


感谢这位安全研究人员对我司 bug 赏金计划的支持,报告中的行为并非特定于 Facebook,但我们的用户数据没有丢失。


我们已经向浏览器制造商和相关 Web 标准组提出了建议,鼓励它们采取措施防止此类问题在其它 Web 应用上发生。


据悉,Facebook 向 Masas 发放了两份单独的赏金,总额为 8000 美元。


来源: cnBeta.COM

声明:声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。



更多资讯:


1、思科删除今年第七个后门账户,为声誉避免使用”后门账户“一词


2、阿凡达的进击之路


3、Nginx安全问题 允许潜在攻击者触发拒绝服务(DoS)状态并访问敏感的信息


4、不让改密码,就寄炸弹,一男子最终被判6年



分享到:
最新评论 (0)
登录后即可评论