研究人员发布创建Facebook蠕虫的POC





波兰安全研究人员发布了可用于创建功能齐全的Facebook蠕虫 POC,该代码是利用了Facebook中的一个漏洞,且很多垃圾邮件已经在野滥用该漏洞。漏洞存在于Facebook移动端的分享对话框/弹出框中,桌面版不受影响。移动分享对话框有一个点击劫持漏洞,攻击者可以通过iframe标签利用该漏洞在Facebook上发布链接


昨天在Facebook上发生了一个非常恼人的垃圾邮件,我的很多朋友发了一个链接,这个链接的站看起来像是在AWS桶上托管的网站——一个看起来有趣的法国漫画网站,谁看了不会点击?
单击链接后,AWS托管的站点出现。它要求验证是否是16岁或以上(法语)才能访问受限制的内容。点击按钮后,被重定向到了一个有趣的漫画(和很多广告)的页面。然而,与此同时,您刚刚点击的链接就会出现在Facebook上。


研究人员将漏洞成因归结到Facebook故意忽略"X-Frame-Options"调用特定API。根据行业认可的MDN Web标准,站点使用X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>、<iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

研究人员报告给Facebook,Facebook却拒绝修复它。他说:“正如预期的那样,Facebook拒绝了这个漏洞,尽管我试图强调这有安全隐患。”
“Facebook表示,点击劫持是安全问题,但必须造成攻击者能以某种方式更改帐户状态才算有问题(例如,禁用安全选项或删除帐户)。”



研究人员认为,这种技术允许攻击者轻松传播恶意软件或网络钓鱼链接。后经过ZDnet与Facebook联系,Facebook是为了更好地用户体验才故意忽略"X-Frame-Options"调用特定API,不过他们已对这个漏洞进行了修补。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐