Facebook CSRF y vulnerabilidades XSS | gusanos destructivos en una red social
Facebook es un sitio web de redes sociales con el segundo número más alto
de visitas en todo el mundo, y más de 500 millones de usuarios activos. Nuestro equipo
recientemente realizó una auditoria de seguridad de la página principal de Facebook
junto con sus versiones móviles. Aquí están los detalles de nuestro
resultados.
I. DESCRIPCIÓN DE LAS VULNERABILIDADES
Facebook cuenta con un sistema anti-CSRF basa en dos fichas,
respectivamente llamado post_form_id y fb_dtsg. Estas fichas de cambio
con frecuencia, y son sin duda basa en varios parámetros como
hora del día, el tiempo de creación de la cuenta, identificador de usuario, y muchos otros.
La determinación de los valores de estas fichas para un usuario específico, en nuestro
punto de vista, imposible.
Afortunadamente, Facebook ofrece una funcionalidad llamada "vista previa perfil",
permitiendo a los usuarios para ver cómo su propio perfil parece a cualquier otro usuario.
Se puede acceder mediante el
URL: http://www.facebook.com/profile.php?v=wall&viewas =
esta función tiene un error. Cuando el usuario conectado permite que cualquier persona
Comentario sobre la pared de su (a través de su configuración de privacidad), una forma (al menos) es
dado que los usuarios puedan comentar sobre los mensajes publicados. En tal caso, cuando
rellenar el parámetro viewas con el id de cualquier usuario, el script
devuelve - entre otras cosas - el símbolo post_form_id de este mismo
usuario, junto con el formulario necesario para comentar sobre la pared. Por ejemplo,
establecer su configuración de privacidad de forma adecuada y va a
http://www.facebook.com/profile.php?v=wall&viewas=4 revelará la
post_form_id muestra de Mark Zuckerberg. ;-)
Este error también se puede encontrar en la alimentación de ajax
http://www.facebook.com/ajax/stream/profile.php?__a=1&profile_id =
Dos inconvenientes: en primer lugar, necesita de la víctima Identificación para recuperar su
post_form_id simbólico. Entonces, usted todavía necesita el token fb_dtsg segundo. La
primer problema es en realidad un problema fácil de resolver si se utiliza una pequeña
falla CSRF situado en la m.facebook.com versión móvil. De hecho, el
"Como" script no requiere ningún anti-token CSRF: se puede utilizar en un
ataque CSRF para recuperar el nombre, y por lo tanto el ello, de la víctima.
Nótese bien : Cuando un usuario inicia sesión en el sitio principal de entonces se registra en cualquier
versión para móviles, así que todo es aprovechable en las principales
versión.
El segundo problema podría haber sido un problema grave si el Facebook
equipo no nos había dejado con la posibilidad de enviar solicitudes de amistad
sin fb_dtsg símbolo de la touch.facebook.com versión táctil. Nosotros
considerar esto como un defecto, ya que muchos pueden hacerse una vez que se amigo con
la víctima.
Terminamos la descripción de los defectos con nuestros últimos hallazgos, dos XSS
fallas ubicadas en cada versión móvil de Facebook, a saber, m.facebook.com
y touch.facebook.com. Más precisamente, los guiones son incriminados
http://m.facebook.com/l.php?u = adress>
http://touch.facebook.com/l_warn.php?u = adress>
redirigiendo a los usuarios a la dirección proporcionada externa. Cuando se omite la h
parámetro, la secuencia de comandos devuelve una advertencia como la dirección externa,
que no está correctamente esterilizado antes de ser enviado de vuelta. Aquí hay dos
prueba de concepto
URL: http://m.facebook.com/l.php?u=http://ex.xss/
0 comentarios:
Publicar un comentario