Facebook istifadəçilərinin şəxsi məlumatlarının oğurlanmasına yol açan yeni boşluq (VİDEO)

Facebook istifadəçilərinin şəxsi məlumatlarının oğurlanmasına yol açan yeni boşluq (VİDEO)

Code-News
23.11.2018 PAYLAŞIM
TECHNOTE @technote TECHNOTE logo icon

#Step IT Academy tərəfindən təqdim olunur  

       
   

    İnformasiya təhlükəsizliyi mütəxəssisləri Facebook sosial şəbəkəsinin təhlükəsizliyində yeni boşluq aşkar etdilər. Bu boşluq istifadəçilərin şəxsi məlumatlarının, habelə onların dostlarının konfidensial məlumatlarının oğurlanmasına yol açırdı. Bu səhv sosial şəbəkənin axtarış funksiyasında aşkar olunub.

Bənzər xəbər


Problem nədir?

    Imperva şirkətinin mütəxəssisi Ron Masas-ın dediyinə görə, daxilində axtarış nəticələrini əks etdirən səhifədə nəticələr ilə əlaqəli İframe-lar var. Bu iFrame-ların URL ünvanları CSRF hücumlara qarşı heç bir təhlükəsizlik vasitəsi ilə qorunmurlar. Hücumu gerçəkləşdirmək üçün istifadəçinin öz saytına cəlb etmək lazımdır. Vacibdir ki, istifadəçi həmin an öz Facebook profilində aktiv olsun. Hücum edənin saytında istifadəçinin istənilən klikindən sonra fonda Javascript kod işə düşür, hansında ki, müəyyən ünvan üzrə Facebook URL-ı yüklənir və lazımlı məlumat oğurlanmış olur.

    Bu hücumu həm “yayda çəkdiyim şəkillər” sorğusu üzrə gerçəkləşdirmək olar, həm də ki, boşluqdan daha təsirli məlumatları əldə etmək üçün yararlanmaq olar: İstifadəçinin dostlarını müəyyən etmək; İstifadəçi hansı səhifələri bəyənib və hansı qrupların üzvüdür; Müəyyən səhifəyə abunə olmuş dostları varmı; Müəyyən məkanlarda çəkilmiş şəkilləri varmı; İstifadəçinin postları üzrə axtarış etmək olur; İstifadəçinin dostlarının dinini aşkarlamaq olur və s.

    Beləliklə istifadəçi konfidensial tənzimlənmələrdə tam şəxsi rejim sazlasa da, bu boşluq ilə onun təsirli məlumatlarını asanlıqla əldə etmək olur.

Necə qorunmalı?

    Mütəxəssislər artıq Facebook-a müraciət ediblər. Sosial şəbəkənin mühəndisləri CSRF qorunma əlavə etdilər.

Qeyd: Şərhlərdə nalayiq ifadələr işlətmək, reklam xarakterli mətn paylaşmaq qadağandır.

Şərh yoxdur

Şərh yazmaq üçün daxil olun


DAHA ÇOX


2020-ci ildə məlumatların vizualizasiyası üçün aktual olacaq Top-8 JavaScript ki..

JavaScript-də məlumatları daha gözəl şəkildə təqdim etmək lazımdır?


Microsoft bu il olmuş qeyri adi fişinq kiberhücumlarından danışdı

Bir neçə müddət bundan öncə isə Microsoft şirkəti kiberhücumlar və malware-lar üzrə trendləri əks et..


Microsoft Windows-da 0-day boşluğu da daxil olmaqla 7 kritik sistem boşluğu arad..

Microsoft şirkəti bu ay təqdim etmiş olduğu yenilənmələr ilə öz sistemlərində 36 boşluğu aradan qald..


Microsoft Teams platformasının Linux versiyası təqdim edildi

Microsoft şirkəti Microsoft Teams platformasının Linux versiyasını təqdim edib.


OpenBSD-də 4 ciddi sistem boşluğu aşkar edilib

OpenBSD-də 4 ciddi sistem boşluğu aşkar edilərək aradan qaldrılıb.


Sadə tətbiqlərin müxtəlif proqramlaşdırma dillərindəki test nəticələri təqdim ed..

Assembler x86_64-də HeavyThing adlı azad kitabxananı reallaşdırmış müəllif Jeff Marrison “Assembler-..

×