خطأ في الفيس بوك يمكن أن يسمح للقراصنة للاستيلاء على حسابك

خطأ في الفيس بوك يمكن أن يسمح للقراصنة للاستيلاء على حسابك
| بواسطة : المكتب التنفيذي | بتاريخ 30 يناير, 2016
أخر تحديث : السبت 30 يناير 2016 - 1:13 صباحًا
المصدر - وكالات + بالعربي

باحث أمن المملكة المتحدة الذي يمر fin1te نشرت مجرد قصة رائعة من الشوائب عبر الموقع برمجة (XSS) وجد في شبكة توصيل المحتوى في الفيس بوك.

ذكرت Fin1te (الذي هو جاك Whitton اسم مستعار) علة في يوليو عام 2015، وعلى ما يبدو تلقى 7500 $ لجهوده، ولكن مع ذلك انتظرت حتى هذا الأسبوع قبل أن يذهب الجمهور.

وكتب أن الفيسبوك إغلاق ثقب مع ساعات قليلة من تقريره، لكنه صمد من الكشف عن علة لمدة ستة أشهر لإعطاء الفيسبوك الوقت لتنفيذ إصلاح أكثر اكتمالا.

وأوضح XSS

لقد وصفت هجمات XSS قبل.

تعني ببساطة، يشير XSS إلى نوع من الخلل فيها ترسل محتوى الموقع أن مخادع يتضمن جزءا لا يتجزأ من جافا سكريبت ، ولاحقا (وغير صحيح) ويشمل الموقع الذي محتوى في ردها المسموم.

على سبيل المثال، ربما كنت قد زار العديد من المواقع التي تظهر اسم المستخدم الخاص بك في أعلى كل صفحة بمجرد دخولك.

هذا مفيد، طالما اسمك هو شيء الأبرياء مثل pducklin ، وليس شيء الغادرة مثل <script> ReadSomeCookie () </ script> .

إذا كان الموقع يرسل خطأ متصفحك النصي بدلا من نص عادي أو HTML، سوف متصفحك تشغيل بدلا من مجرد عرض ، والذي يصل إلى حد الهجوم البعيد تنفيذ قانون (RCE).

كلما يعرض موقع ويب أو تخدم ما يصل أي محتوى التي جاءت أصلا من الخارج، سواء دفن داخل ملف مرفوع أو تضمينها في URL، فإنه يجب أن يكون حذرا جدا لتصفية الشخصيات محفوفة بالمخاطر.

الأحرف خطيرة تشمل خصوصا أقواس زاوية ( < و > علامات)، لأنها تستخدم للدلالة على أجزاء من صفحة الويب التي ينبغي أن تعامل على أنها صور، وصلات، ومخطوطات وهلم جرا.

THR “عبر موقع” الجزء

الإختراق Fin1te الكامل وتشارك تماما.

مثل العديد من مآثر ناجحة، فإنه يتطلب سلسلة من الخطوات، أو محاور، من خلال المحتوى الذي مفخخة تحميلها في مكان واحد ثم يتم مخادع لتظهر في مكان آخر.

هذا هو الجزء “عبر موقع” الهجوم.

أحسب Fin1te على كيفية تحميل جافا سكريبت الخفي لشبكة توصيل المحتوى في الفيسبوك (كندي)، حيث الملفات مثل ملفات الفيديو والصور وهلم جرا الحصول على تخزينها.

لكن الملفات كندي عادة الحصول على عمل حتى من مجال مثل fbcdn.net أو akamaihd.net ، لذلك حتى لو كنت تستطيع التسلل النصوص المارقة هناك، عند تحميلها مرة اخرى، انهم لا يستطيعون قراءة البيانات على شبكة الإنترنت مثل الكوكيز جلسة من الفيسبوك كوم دعا، بسبب تدبير السلامة متصفح سياسة المصدر الأوحد .

توقف سياسة المصدر الأوحد لي وضع التعليمات البرمجية على موقع الويب الخاص بي أن retreives البيانات على شبكة الإنترنت خاصة وضعتها موقع الويب الخاص بك، وعنصرا أساسيا من الأمن على شبكة الإنترنت.

تجاوز سياسة المصدر الأوحد

وجدت Fin1te وسيلة لإنشاء عنوان URL على المجال photos.facebook.com التي تم توجيهها لخدمة ما يصل له ملف مفخخة من كندي.

باختصار، لديه الآن طريقة لتحميل برنامج نصي مخفي لكندي، ثم لاسترداد هذا النص عن طريق وصلة منظرها أن المستخدم يمكن أن غرر النقر من facebook.com المجال.

سيكون السيناريو له ثم تشغيل في متصفح الضحية كما لو كان برنامج نصي الرسمي الفيسبوك.

إذا تم تسجيل المستخدم في البرنامج النصي هجوم يمكن، نظريا على الأقل، أن تفعل أي شيء يمكن للمستخدم القيام به، بما في ذلك نشر رسائل الحالة واسترجاع البيانات الخاصة.

بطبيعة الحال، إذا أستطيع أن أرسل خلسة الرسائل إلى أصدقائك والتي تشمل نفس الارتباط الغادرة للنص مخفية على كندي، ثم بمجرد قراءة الرسائل، وأنها سوف تبث خلسة الرابط النصي لأصدقائهم، وهلم جرا ، وما إلى ذلك وهلم جرا.

هجوم XSS التي يمكن أن يساء استخدامها بهذه الطريقة يعرف wormable ، لأنها يمكن أن تستخدم لنشر نفسه تلقائيا عبر الشبكة، مما يجعل من دودة الشبكة أو فيروس، مثل الكثير من الشائنة دودة موريس لعام 1988، أو سلامر من عام 2003.

الجزء NEAT

الجزء أنيق حقا من الضعف؟

لتحميل النص المخفي، Fin1te دفنها داخل جزء البيانات من ملف صورة PNG تنسيق بحيث الفيسبوك لكندي أن يتعرف عليه كملف صورة، وبالتالي غير صحيح التعامل معها على أنها لا يمكن الاعتراض عليه، وبالتالي “في الغالب غير مؤذية”.

للقيام بذلك، كان بحاجة إلى إنشاء بشكل جيد ملف الصورة التي من شأنها تحميل وعرض بشكل صحيح إذا تعامل على أنها صورة، ولكن إذا معالجتها في شكله الخام ك HTML عادي، سوف تحتوي على نص مثل <script> DOBADSTUFF () </ النصي > .

ولكن يتم ضغط جزء البيانات من صورة PNG مع خوارزمية دعا فرغ (نفس الضغط المستخدمة في ملفات ZIP)، لذلك هناك حاجة Fin1te فعلا للعثور على البيانات التي عند استخدامها كمدخل لامتصاص التضخم، أنتجت جافا سكريبت كما انتاجها مضغوط .

مثل الكثير من الأبحاث في مجال الأمن، فإنه من السهل فقط بمجرد أن تعرف كيف!