Мой сайт

Статистика


Онлайн всего: 1
Гостей: 1
Пользователей: 0

Форма входа

Главная » 2013 » Май » 11 » В протоколе авторизации Facebook существует неустраненная уязвимость
12:50
В протоколе авторизации Facebook существует неустраненная уязвимость
Хакер под ником Nir Goldshlager снова обнаружил уязвимость в протоколе авторизации Facebook oAuth.

Так, после того, как Nir описал возможность взлома учетной записи пользователя соцсети даже без установки приложения и множественные способы обхода стандартных методов безопасности Facebook oAuth, на этот раз он решил описать сценарий новой атаки, рассказав, как манипулировать приложением, установленным в учетной записи жертвы.

Согласно сообщению исследователя, если жертва, к примеру, устанавливает Skype или Dropbox, злоумышленники могут получить доступ к ее учетной записи в Facebook. В этом случае киберпреступникам достаточно найти перенаправление / XSS на домене приложения, которое использует жертва (skype.com или dropbox.com). Обнаружив брешь на сайте воладельца приложения, злоумышленик при помощи  access_token может похитить учетные данные жертвы.

По словам исследователя, в настоящий момент уязвимости в системе перенаправления являются очень распространенными, причем перенаправление можно обнаружить даже на субдоменах владельцев различных приложений. В то же время, эти бреши не подпадают под программы выплаты вознаграждения за их обнаружение.

Nir также показал, что злоумышленники могут получать информацию о том, какие приложения используют жертвы.

По словам исследователя, проблема в устранении подобных брешей состоит в том, что разработкой приложений для Facebook занимаются сторонние разработчики.

Источник
Просмотров: 39 | Добавил: tux | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Поиск

Календарь

«  Май 2013  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031

Архив записей

Друзья сайта

  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz