Gambar: PexelsPeneliti keamanan informasi
menemukan kerentanan di jejaring sosial Facebook - kesalahan ini dapat menyebabkan kebocoran informasi rahasia tentang pengguna dan teman-teman mereka. Kesalahan terdeteksi dalam fungsi pencarian jejaring sosial.
Apa masalahnya?
Menurut peneliti Ron Masas dari Imperva, halaman yang menampilkan hasil pencarian termasuk elemen iFrame yang terkait dengan hasil pencarian. URL terakhir dari iFrames ini sama sekali tidak dilindungi dari pemalsuan permintaan lintas situs, serangan CSRF).
Untuk mengeksploitasi kerentanan, penyerang perlu menipu pengguna agar mengunjungi situs khusus. Adalah penting bahwa pengguna masuk ke profil Facebook-nya. Setiap klik pada halaman web di latar belakang akan mengeksekusi kode JavaScript. Kode ini membuka tab baru dengan URL Facebook, di mana permintaan yang telah ditentukan dieksekusi untuk mendapatkan informasi yang diperlukan untuk penyerang.
Serangan ini dapat digunakan untuk mencari informasi seperti "foto dari liburan", dan untuk mengekstrak data yang lebih sensitif, termasuk:
- pengguna memiliki teman dengan nama atau kata kunci tertentu dalam nama profil;
- halaman apa yang disukai pengguna dan di grup mana ia berasal;
- Apakah dia punya teman yang mengikuti halaman tertentu?
- keberadaan foto dari lokasi atau negara tertentu;
- Apakah pengguna telah memposting tulisan yang mengandung kata kunci tertentu
- Apakah dia punya teman dari agama tertentu?
- dll.
Dengan demikian, kerentanan mengungkapkan data pengguna yang sensitif bahkan jika mereka menetapkan pengaturan privasi yang melarang berbagi informasi tersebut dengan orang luar.
Prosesnya dapat diulang berkali-kali tanpa perlu membuka tab baru. Akibatnya, serangan ini menimbulkan bahaya terbesar bagi pengguna ponsel - lebih sulit bagi mereka untuk melacak pembukaan tab baru.
Cara melindungi diri sendiri
Para peneliti beralih ke Facebook, dan perusahaan telah memperbaiki kerentanannya. Insinyur jaringan sosial menambahkan perlindungan terhadap serangan CSRF.
Ketika pengembangan dijalankan karena tingginya permintaan akan layanan dan produk, semakin banyak pengembang yang memperkenalkan proses integrasi dan pengiriman (CI / CD) yang berkelanjutan. Bagian integral dari CI / CD adalah keamanan perangkat lunak yang dikembangkan. Sangat penting untuk mengidentifikasi dan menghilangkan kerentanan secara akurat. Namun, dalam praktiknya, tidak semuanya begitu sederhana.
Banyak orang secara keliru percaya bahwa analisis kualitas kode sudah cukup untuk memeriksa perangkat lunak, termasuk risiko keamanan. Dan mereka yang mengerti bahwa ini tidak benar, dan menggunakan alat analisis keamanan, menghadapi masalah verifikasi kerentanan. Ini biasanya dilakukan secara manual, dan dengan mempertimbangkan fakta bahwa jumlah kerentanan dapat mencapai ratusan dan ribuan, efektivitas proses CI / CD dan kelayakan dukungannya ternyata menjadi pertanyaan besar.
Pada hari Kamis, 22 November pukul 2:00 siang , Alexey Zhukov, seorang pakar di departemen keamanan aplikasi Positive Technologies, akan mengadakan webinar gratis. Dalam perjalanannya, Anda akan belajar bagaimana memastikan bahwa dalam proses yang berkelanjutan, volume besar dan tenggat waktu yang terbakar, cacat keamanan tidak luput dari perhatian dan verifikasi mereka tidak menjadi hambatan. Alexey akan berbicara tentang bagaimana secara otomatis mengotomatiskan proses memastikan keamanan perangkat lunak dan meningkatkan efisiensi dalam melakukan tugas-tugas dasar. Webinar akan bermanfaat bagi pengembang dan spesialis DevOps.
Untuk berpartisipasi dalam webinar, Anda harus mendaftar .