Самое горячее: Европа признала соцсети опасными (50); "Фобос-Грунт" уже не спасти (11); Мобильники убивают детей (26); ЕЩЕ >>
РАЗДЕЛЫ
Архив
« июнь 2020  
пн вт ср чт пт сб вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

Facebook порвался на старой "дыре"

Безопасность | Новости | 24.05.2010 15:39

У сотрудников Facebook в последнее время хватает работы по затыканию "дыр" в своём сервисе. Одна из последних уязвимостей позволяла удалять у пользователей этой социальной сети всех их "френдов".

История началась с того, что аналитик Alert Logic М.Дж. Кейт (M.J. Keith) опубликовал на сайте своей компании информацию о критической уязвимости Facebook, связанной с некорректно реализованной защитой от CSRF-атак (подделка межсайтовых запросов). Она заключалась в том, что со стороны сервера не осуществлялась проверка на существование специального "защитного" параметра "post_form_id".

Получив от Alert Logic информацию о "дыре", специалисты Facebook в течение нескольких дней её "залатали", поэтому Кейт со спокойной совестью предал эти сведения гласности.

Однако некий нью-йоркский студент Стивен Аббаньяро (Steven Abbagnaro) решил проверить, действительно ли Facebook устранил данную проблему. Поэкспериментировав немного с запросами, Аббаньяро выяснил, что по крайней мере в одном месте проверка на существование параметра "post_form_id" до сих пор не проводится.

Это позволило любознательному студенту создать вредоносный сайт, посетив который любой пользователь Facebook (будучи залогиненным, разумеется) тут же лишался всех своих "френдов". (Вот наглядное видео этого процесса.) К чести Аббаньяро следует заметить, что вредоносный сайт был создан им на локальном веб-сервере, однако опубликованной им информацией мог воспользоваться любой злоумышленник.

Он сообщил в Facbeook о проблеме ещё в минувшую среду, 19 мая. В субботу Аббаньяро обновил запись в своём блоге информацией о том, что 21 мая Facebook уже залатал "дыру". Правда, за это время история уже получила огласку — в частности на IDG News. Журналист этого издания Роберт Макмиллан (Robert McMillan) успел даже связаться с М.Дж. Кейтом по email, и тот признался, что буквально сражён наповал этими известиями.

Судя по всему, данной "дырой" так никто и не воспользовался — видимо, по той причине, что из неё трудно извлечь выгоду. Впрочем, порой вирусописатели терзают Facebook и без всякой выгоды: на прошлой неделе социальную сеть атаковал червь, который только и делал, что размножался, публикуя от имени юзеров статус-сообщения с вредоносной ссылкой. Атака была довольно оперативно отражена специалистами F-Secure.

Другие новости

Последние комментарии
об издании | тур по сайту | подписки и RSS | вопросы и ответы | размещение рекламы | наши контакты | алфавитный указатель

Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.

хостинг от .masterhost