Luka XSS w portalu FaceBook

Największy serwis społecznościowy na świecie www.facebook.com, zajmujący 7 miejsce w rankingu www.Alexa.com, z Google PageRank równym 9 – był podatny na atak typu XSS.

Ponad 70 milionów aktywnych użytkowników może wygenerować wiele złego, zwłaszcza nieświadomie. Gdyby ktoś nieodpowiedni wykorzystał ten błąd i napisał robaka, użytkownicy zaczęliby nieświadomie przesyłać sobie złośliwe oprogramowanie – ach cóż by to był za wesoły dzień. Pomijając, że ktoś dorobiłby się szybko sporej porcji gotówki. Dodatkowo gdy dorzucimy do wspólnego garnka raport firmy Opera, produkującej przeglądarki stron WWW, to nowe wektory ataku pojawią się na horyzoncie bardzo szybko. Robak przeskakujący pomiędzy komputerem stacjonarnym, a urządzeniem przenośnym, za pomocą wyłącznie strony WWW – dziś wydaję się czymś na tyle skomplikowanym, że teoretycznie odległym. Ale jutro taki atak może się okazać teraźniejszością lub co gorsza przeszłością.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar puppy
    puppy

    A oto przykład co robak w JS potrafi zrobić z ogromnym serwisem społecznościowym, w tym wypadku sławny Samy z Myspace: http://fast.info/myspace/

    O jakim raporcie mowa? I jak może robak przeskakiwać między desktopem a urządzeniem przenośnym? Przecież tego typu robaki nie polegają na błędach bezpieczeństwa przeglądarek a wyłącznie na umiejętnym użyciu Javascript w mocno ograniczonych warunkach (czyli np. filtrowanie treści które jednak nie jest doskonałe)

    1. Awatar witek
      witek

      Ale jeśli gdzieś znajduje się błąd pozwalający wstrzyknąć niefiltrowaną treść, to można wstrzyknąć tam coś co wykorzysta jakieś błędy przeglądarek.

      1. Awatar nobody
        nobody

        No dokładnie – a jak gdzieś znajduje się błąd pozwalający czemuś zrobić coś to to coś może zrobić inne coś czemuś.

      2. Awatar rms
        rms

        no wogóle można w ten sposób przejąć kontrolę nad całym światem

  2. Awatar mlodedrwale
    mlodedrwale

    To portal newsowy, czy filozoficzny?

    Gdyby ktoś nieodpowiedni wykorzystał ten błąd i napisał robaka, użytkownicy zaczęliby nieświadomie przesyłać sobie złośliwe oprogramowanie – ach cóż by to był za wesoły dzień.

    Gdyby babcia miała cztery ręce, to mogła by klaskać w stereo, ach cóż by to był za wesoły dzień!

    1. Awatar konryd
      konryd

      Faktycznie. To w końcu był podatny czy nie?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *