Excluyó 2022: Atención a fallas de redirección en Facebook

Se ha descubierto una falla de redirección en Facebook hace dos meses. El equipo de seguridad de Facebook fue contactado y el problema se establece ahora. Aquí están los detalles de lo que fue posible hacer.

Los autores de este descubrimiento divergen de acuerdo con las fuentes, no mencionaré a nadie hasta que tenga más información.

i Recuerde que la técnica ya no funciona, de ahí mi derecho a publicarlo para entenderlo.

La falla es explotable en todos los navegadores e incluso para algunos subdominios de Facebook.

¿Qué es un ¿Fama de redirección?

Una falla de redirección es, ya que su nombre indica una falla para redirigir una URL a otra, así que un sitio a otro. Por lo tanto, esta falla cuando se explota permite iniciar ataques de phishing. La víctima haga clic en el famoso enlace https://www.facebook.com/, sin embargo, la URL se redirige a otro sitio, que es una copia idéntica del sitio inicial. El sitio falso le permite robar datos personales cuando los usuarios piensan iniciar sesión en un sitio legítimo.

hace unos años, las fallas rebeldes ya se encontraron en Facebook.

Algunas aplicaciones permitidas para redirigir a un usuario a través del parámetro «L», aquí hay ejemplos (que actualmente no funcionan más):

http: // aplicaciones. Facebook.com /heeheafceabeave/0/preload.aspx?fb_force_mode=iframel=http://www.google.com «/ p>» //apode/ttp://apps.facebook.com/fifaccebcbdb / 0 / prreload.aspx? fb_force_mode = iframel = http: //www.google.com // P> «H1> colas en la falla de redirección en Facebook

La falla actual se encuentra en el» OAUTH Diálogo «, opción de diálogo» y «Diálogo de amigos». Estas son pequeñas ventanas que aparecen dentro de Facebook para realizar acciones específicas. El cuadro de diálogo

  • oauth le permite permitir que los usuarios se conecten a través de una aplicación. También proporciona permisos adicionales a los usuarios de una solicitud.
  • Friends Dialog muestra el cuadro de diálogo que permite al usuario agregar un amigo.
  • La opción de diálogo muestra las opciones de usuario aplicables por el usuario.

Los diálogos, sin embargo, requieren una sesión activa (el usuario debe iniciar sesión en Facebook) para operar.

Este es el parámetro REDIRECT_URI que permitió redirigir a otra URL:

https://www.facebook.com/dialog/optin? app_id == redirect_uri = http: // Google.fr

https://www.facebook.com/dialog/oauth?app_id= = redirect_uri = http: // Google.fr

https://m.facebook.com/dialog/engriends?app_id==Redirect_uri== http: // google.fr

El siguiente parámetro tiene el mismo efecto:

https: // www.facebook.com/dialog/optin?app_id==next= http://google.co.uk "/ code>" / p> ")" Código> Codeottaps: /// www.facebook.com/dialog/oauth?app_id==next=http://google.co.uk "/ code>" / p> "" "" "Codethetps: //m.facebook.com / diálogo / amigos? app_id == Siguiente = http: //google.com

El parámetro APP_ID puede contener cualquier valor, lo que hizo que la operación fuera aún más fácil porque no Solo puede ser un texto objetivo, pero también un texto largo que oculta el extremo de la URL cuando se corta porque está demasiado largo.

Más, muchos subdominios de Facebook también se vieron afectados, por ejemplo:

https://m.facebook.com/dialog/oauth?app_id==next=http://www. google.fr

https: //touch.facebook.com/dialog/oaAuth? app_id == Siguiente = http: //www.google.fr

E-Book PDF 6 errores adorados por informatorios informáticos

que siempre lo harán vulnerable en los mitos de linalatos del antivirus perfecto... Lo que saben los piratas sobre yoasc...

Descargo mi guía gratuita ×

¿A qué dirección de correo electrónico le gustaría recibir la guía?

artículos similares

Clickyacking y Fallas de redirección

Hola a todos, me reuní en el artículo de hoy Dos conceptos similares, son fallas en Clickjacking y Redirection. Estos son ataques totalmente indetectables de antivirus y otros programas de limpieza, solo un usuario advertido y sensibilizado (en el que estará) es capaz de...

Proteger de la falla XSS (Cross-Site. Scripting)

Introducción: ¿Cuál es el artículo XSS en el destino de los desarrolladores web y los administradores del sitio? XSS viene de scripts de sitios cruzados y, como ya se tomó la acrónima CSS para hojas de estilo en cascada, usamos una X para "CROSS" (Cruz en inglés). La falla consiste en inyectar un script arbitrario...

Proteger de la falla RFI (inclusión remota de archivos)

Introducción: ¿Cuál es el artículo de Falla RFI en el destino de los desarrolladores web y el sitio? Administradores. La falla RFI es similar a la falla ILF. También permite incluir archivos que pertenecen a un servidor externo desde una URL. Pero principalmente permite incluir cualquier archivo en el servidor...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *