Vulnerabilitate Facebook (CSRF) - Securitatea Informatica

Vulnerabilitate Facebook (CSRF)

Sînteţi supăraţi că Facebook a transformat un simplu “vreau ca informaţiile mele să fie confidențiale” în Mission Impossible 3? E foarte bine: aşa va fi mai greu pentru hackeri să vă facă profilul harcea-parcea cu ajutorul unui bug descoperit acum două zile.

Cum funcţionează: tot ce aveți de făcut este să dați click pe un link făcut special în timp ce sînteţi logat pe Facebook (şi virusul de Yahoo Messenger ne-a demonstrat ca asta nu e greu deloc). De-aici înainte puteți sta liniştit: e treaba hackerului să se joace prin “privacy settings” sau să vă modifice profilul cum are chef.

Explicația tehnică: orice modificare pe pagina utilizatorului este posibilă doar dacă serverul a verificat mai întîi “post_form_id”, l-a declarat cu acte-n regulă și a notat în jurnalul de bord “Cerere legitimă. Nu e un atac de tip CSRF (Cross-site request forgery attack).” Şi atunci, cum trec hackerii de această verificare riguroasă? Foarte simplu: au grijă să omită acest “post_form_id” din mesajele trimise.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro