شناسایی آسیب‌پذیری دیگری در ویژگی جستجوی فیس‌بوک

 

براساس گزارش‌های منتشر شده، حریم خصوصی کاربران محبوب‌ترین شبکه‌ی اجتماعی جهان در خطر است. یکی از آسیب‌پذیری‌های امنیتی شناسایی شده در فیس‌بوک به مهاجمان اجازه می‌دهد تا اطلاعات شخصی کاربران و دوستان آن‌ها را به‌دست آورند. این آسیب‌پذیری که توسط محققان شرکت امنیتی Imperva کشف شده است، در بخش جستجوی فیس‌بوک و نمایش نتایج جستجو وجود دارد. به گفته‌ی محققان Imperva، صفحه‌ای که نتایج جستجو را نشان می‌دهد، شامل آی‌فریم (iFrame) هر نتیجه است، درحالی‌که نقاط نهایی نشانی‌های وب این آی‌فریم‌ها دارای هیچ‌گونه محافظتی نسبت به حملات جعل درخواست بین‌سایتی (CSRF) نیستند.


برای بهره‌برداری از این آسیب‌پذیری، تمام آن کاری که مهاجم باید انجام دهد این است که کاربران را پس از ورود به حساب خود، به بازدید از یک وب‌سایت مخرب بر روی مرورگر خود ترغیب کند. این وب‌سایت مخرب حاوی یک کد جاوا اسکریپت است که به محض کلیک قربانی در هر جایی از صفحه، در پس‌زمینه اجرا می‌شود. سپس، این کد جاوا اسکریپت یک برگه یا پنجره‌ی جدیدی را با نشانی وب فیس‌بوک باز کرده و به‌منظور استخراج اطلاعات هدف، نمایش جستجوهای از پیش تعریف شده‌ای را اجرا می‌کند. لازم به ذکر است این آسیب‌پذیری در ماه می توسط غول شبکه‌ی اجتماعی فیس‌بوک وصله شده و مهاجمان قادر به استخراج اطلاعات حساب‌های کاربری نبوده‌اند.
 

منبع

پست‌های مشابه

Leave a Comment