图片: 像素信息安全研究人员在社交网络Facebook中
发现了一个漏洞-该错误可能导致有关用户及其朋友的机密信息泄露。 在社交网络搜索功能中检测到错误。
有什么问题
根据Imperva的研究人员Ron Masas的说法,显示搜索结果的页面包括与搜索结果相关的iFrame元素。 这些iFrame的最终URL绝对不受跨站点请求伪造,CSRF攻击的保护。
要利用此漏洞,攻击者需要诱使用户访问特殊站点。 用户登录到他的Facebook个人资料很重要。 在后台单击网页将执行JavaScript代码。 此代码使用Facebook URL打开一个新选项卡,在其中执行预定的请求,以获得攻击者所需的信息。
这种攻击不仅可以用于搜索“度假照片”之类的信息,还可以提取更为敏感的数据,包括:
- 用户有个人资料名称中有特定名称或关键字的朋友;
- 用户喜欢什么页面,以及他属于哪个组;
- 他在特定页面上有朋友吗?
- 来自某些位置或国家/地区的照片的存在;
- 用户是否发布了包含特定关键字的帖子
- 他有特定宗教的朋友吗?
- 等
因此,即使敏感用户数据设置了禁止向外部人透露此类信息的隐私设置,该漏洞也会泄露敏感用户数据。
该过程可以重复很多次,而无需打开新选项卡。 结果,这种攻击对移动用户构成了最大的危险-他们很难跟踪新标签页的打开。
如何保护自己
研究人员求助于Facebook,该公司已经修复了该漏洞。 社交网络工程师增加了针对CSRF攻击的保护。
当由于对服务和产品的高需求而使开发投入生产时,越来越多的开发人员正在引入持续集成和交付(CI / CD)流程。 CI / CD不可或缺的部分是所开发软件的安全性。 准确识别和消除漏洞尤其重要。 但是,实际上,并非所有事情都那么简单。
许多人错误地认为,对代码质量的分析足以检查软件,包括安全风险。 那些了解情况并非如此,并依靠安全分析工具的人会面临漏洞验证的问题。 它通常是手动执行的,并考虑到漏洞数量可能达到成千上万的事实,CI / CD流程的有效性及其支持的可行性成为一个大问题。
11月22日,星期四, 下午2:00 ,Positive Technologies应用程序安全部门的专家Alexey Zhukov将举行一次免费的网络研讨会。 在课程中,您将学习如何确保在连续的流程,大量的工作和紧迫的最后期限中,安全缺陷不会被忽视,并且它们的验证不会成为瓶颈。 Alexey将讨论如何有效地自动化确保软件安全的过程并提高执行基本任务的效率。 该网络研讨会将对开发人员和DevOps专家有用。
要参加网络研讨会,您需要注册 。