[Real Results] Black Hole For Bad Bots Saves Your Server Resources
جدول المحتويات:
: لقد قام فيس بوك بتصحيح الثغرة الخطيرة التي كان يمكن أن تسمح للمهاجمين بالوصول بسهولة إلى بيانات حساب المستخدم الخاص والتحكم في الحسابات عن طريق خداع المستخدمين إلى فتح حساباتهم. على سبيل المثال ، قال باحث في أمن تطبيقات الويب في وقت متأخر من يوم الخميس
، وهو الباحث الذي يدّعي أنه عثر على العيوب وأبلغه إلى فيسبوك ، عن وصف مفصل وتسجيل فيديو يوضح كيفية عمل الهجوم على مدونته.
كان من الممكن أن تسمح الثغرة الأمنية للمهاجمين المحتملين بسرقة أجزاء حساسة من المعلومات المعروفة باسم رموز الدخول إلى OAuth. يستخدم Facebook بروتوكول OAuth لمنح التطبيقات التابعة لجهات خارجية حق الوصول إلى حسابات المستخدمين بعد موافقة المستخدمين عليها. يتم تعيين رمز مميز فريد لكل تطبيق لكل مستخدم.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]وجد Goldshlager نقطة ضعف على مواقع Facebook للهواتف المحمولة والأجهزة التي تعمل باللمس والتي تنبع من سوء الاستخدام تطهير مسارات URL. سمح له ذلك بإنشاء عناوين URL يمكن استخدامها في سرقة الرمز المميز للوصول لأي تطبيق قام مستخدم بتثبيته على ملفه الشخصي.
في حين أن معظم التطبيقات على Facebook هي تطبيقات تابعة لجهات خارجية يحتاج المستخدمون إلى الموافقة عليها يدويًا ، فهناك بعض التطبيقات المضمنة التي تمت الموافقة عليها مسبقًا. أحد هذه التطبيقات هو Facebook Messenger ؛ لا تنتهي صلاحية الرمز المميز للوصول إلا إذا قام المستخدم بتغيير كلمة المرور الخاصة به ولديه أذونات واسعة للوصول إلى بيانات الحساب.
Facebook Messenger يمكنه قراءة الرسائل والإشعارات والصور والرسائل الإلكترونية ومقاطع الفيديو وغير ذلك وإرسالها وتحميلها وإدارتها. كان من الممكن استغلال الثغرة في معالجة عناوين URL التي تم العثور عليها على m.facebook.com و touch.facebook.com لسرقة رمز وصول المستخدم لـ Facebook Messenger ، والذي كان من شأنه أن يمنح المهاجم حق الوصول الكامل إلى الحساب ، كما يقول Goldshlager.
Fingered بواسطة bug-hunter
كان من الممكن اختصار عنوان URL للهجوم باستخدام إحدى خدمات تقصير عناوين URL المتعددة وإرسالها إلى المستخدمين الذين يتنكرون على هيئة رابط إلى شيء آخر. كما أن الهجوم قد يكون ناجحًا أيضًا في حسابات تمكّنت من تمكين المصادقة الثنائية في Facebook. وقال Goldshlager.
باستخدام رمز الوصول ومعرف مستخدم Facebook ، يمكن للمهاجم استخراج المعلومات من حساب المستخدم باستخدام مستكشف API Graph ، أداة للمطورين المتاحة على موقع Facebook ، وقال Goldshlager الجمعة عبر البريد الإلكتروني.
وفقا ل Goldshlager ، فريق الأمان فيسبوك تحديد الثغرة الأمنية. وقال: "لدى فيسبوك فريق أمني محترف ويقومون بإصلاح القضايا بسرعة كبيرة.
<> نحن نحيي الباحث الأمني الذي لفت انتباهنا إلى هذه المشكلة ، ولإبلاغنا عن الخطأ ببرنامج القبعة البيضاء". وقال الجمعة عبر البريد الإلكتروني. "لقد عملنا مع الفريق للتأكد من فهمنا للنطاق الكامل للضعف ، والذي سمح لنا بإصلاحه دون أي دليل على أن هذا الخطأ تم استغلاله في البرية. نظرًا للإبلاغ المسؤول عن هذه المشكلة على Facebook ، ليس لدينا أي دليل على تأثر المستخدمين بهذا الخطأ. لقد قدمنا فضلًا للباحث لنشكرهم على مساهمتهم في أمان Facebook. "
يدعي الباحث أنه وجد أيضًا نقاط ضعف أخرى ذات صلة بـ OAuth وتؤثر على Facebook ، لكنه رفض الكشف عن أي معلومات عنهم نظرًا لأنها" تم إصلاحه حتى الآن.
Facebook يدير برنامج مكافآت علة يقوم من خلالها بدفع مكافآت مالية للباحثين الأمنيين الذين يجدون ويبلغون عن مواطن ضعف تؤثر على الموقع.
قال Goldshlager على تويتر أنه لم يتم دفعه بعد من قبل Facebook الإبلاغ عن هذه الثغرة الأمنية ، لكنه أشار إلى أن تقريره تضمن نقاط ضعف متعددة وأنه من المحتمل أن يحصل على المكافأة بعد أن يتم إصلاحها جميعًا.
وقال جولدشلاجر إن فيسبوك يدفع لباحثي الأمن حلا جيدا للعثور على البق والإبلاغ عنه. "لا استطيع ان اقول كم ، ولكنهم يدفعون أكثر من أي برنامج آخر فضل الوقوع الذي أعرفه."
تم تحديثه في الساعة 11:55 صباحاً. لتضمين تعليق من Facebook.
Bug Allowed Free Access to Sirius Radio Service
TippingPoint تقول أنها وجدت خطأ في راديو القمر الصناعي سيريوس التي يمكن استخدامها للحصول على خدمة مجانية.
E3 2009 Preview: Keep The Hype-Plugs Handy
Alarm eyewear to the ready، the Electronic Entertainment Expo (aka E3 2009) Kicks الاثنين القادم.
World of Warcraft Allowed Parti Relaunch in China
China will allow World of Warcraft to relaunch for some players in the country after weeks offline، but still تتطلب تغييرات على بعض محتوى اللعبة.