Ошибка в коде Facebook позволяла узнать данные администраторов страниц - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
2-03-2018, 18:00
Ошибка в коде Facebook позволяла узнать данные администраторов страниц - «Новости»
Рейтинг:
Категория: Новости

Независимый исследователь Мохамед Басет (Mohamed Baset) нашел в коде Facebook неприятный баг, за который компания уже выплатила исследователю 2500 долларов по программе bug bounty.


Басет обнаружил, что любой желающий способен узнать данные администраторов конкретных Facebook-страниц, хотя в нормальной ситуации эта информация не должна быть публичной.


Исследователь пишет, что нашел «логическую ошибку» практически случайно, за считанные минуты, не разрабатывая для этого никаких proof of concept эксплоитов и инструментов для тестирования.


Ошибка была обнаружена, когда специалист получил приглашение поставить «лайк» конкретной Facebook-странице, на которой он ранее «полайкал» публикацию. Эта функция для администраторов появилась в социальной сети совсем недавно. Теперь операторы страниц могут отправлять пользователям, которым ранее понравилась какая-то запись, специальные приглашения и спрашивать, не хотят ли те поставить «лайк» самой странице. Уведомления о таких приглашениях приходят, в том числе, и на электронную почту пользователя.





Получив письмо с приглашением поставить «лайк» некой странице, Басет машинально нажал «show original», чтобы просмотреть код письма. В коде он с удивлением обнаружил имя администратора страницы, его ID и другую информацию, которая должна быть закрытой.





Хотя на первый взгляд проблема не кажется опасной, подобные утечки данных хорошо комбинируются с другими атаками. К примеру, таким образом злоумышленники могут вычислить администраторов конкретных страниц, чтобы затем применить к ним методы социальной инженерии или хорошо продуманную таргетированную атаку.


Служба безопасности Facebook, которую Басет уведомил о своей находке, полностью согласилась со специалистом и признала, что баг действительно представлял опасность для пользователей. Разработчики социальной сети подчеркнули, что информация об администраторе, отправившем письмо с приглашением, раскрывалась лишь «при определенных обстоятельствах». Как бы то ни было, в настоящее время проблема уже была устранена, личные данные администраторов более не попадают в код письма, а Басет заработал 2500 долларов за несколько минут.


Источник новостиgoogle.com

Независимый исследователь Мохамед Басет (Mohamed Baset) нашел в коде Facebook неприятный баг, за который компания уже выплатила исследователю 2500 долларов по программе bug bounty. Басет обнаружил, что любой желающий способен узнать данные администраторов конкретных Facebook-страниц, хотя в нормальной ситуации эта информация не должна быть публичной. Исследователь пишет, что нашел «логическую ошибку» практически случайно, за считанные минуты, не разрабатывая для этого никаких proof of concept эксплоитов и инструментов для тестирования. Ошибка была обнаружена, когда специалист получил приглашение поставить «лайк» конкретной Facebook-странице, на которой он ранее «полайкал» публикацию. Эта функция для администраторов появилась в социальной сети совсем недавно. Теперь операторы страниц могут отправлять пользователям, которым ранее понравилась какая-то запись, специальные приглашения и спрашивать, не хотят ли те поставить «лайк» самой странице. Уведомления о таких приглашениях приходят, в том числе, и на электронную почту пользователя. Получив письмо с приглашением поставить «лайк» некой странице, Басет машинально нажал «show original», чтобы просмотреть код письма. В коде он с удивлением обнаружил имя администратора страницы, его ID и другую информацию, которая должна быть закрытой. Хотя на первый взгляд проблема не кажется опасной, подобные утечки данных хорошо комбинируются с другими атаками. К примеру, таким образом злоумышленники могут вычислить администраторов конкретных страниц, чтобы затем применить к ним методы социальной инженерии или хорошо продуманную таргетированную атаку. Служба безопасности Facebook, которую Басет уведомил о своей находке, полностью согласилась со специалистом и признала, что баг действительно представлял опасность для пользователей. Разработчики социальной сети подчеркнули, что информация об администраторе, отправившем письмо с приглашением, раскрывалась лишь «при определенных обстоятельствах». Как бы то ни было, в настоящее время проблема уже была устранена, личные данные администраторов более не попадают в код письма, а Басет заработал 2500 долларов за несколько минут. Источник новости - google.com

Теги: CSS, администраторов Басет социальной данные «лайк»

Просмотров: 734
Комментариев: 0:   2-03-2018, 18:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: