网络安全研究:Facebook(脸谱网)最新高危XSS漏洞分析

Facebook在2008年12月15日与2009年1月4日被曝出一系列高危XSS安全漏洞，Facebook众多的功能同时遭受牵连，如新用户注册、iPhone登录、密码重新设定，等等。

近期，Facebook频现高危XSS安全漏洞，致使其用户遭受巨大威胁。本文将对这些漏洞发布进行详细介绍。

具体情形是:安全研究人员最近发现的有XSS漏洞的页面包括以下内容:开发人员页面、新用户注册页面、iphone登录页面以及应用程序页面。攻击者能够利用这些XSS漏洞攻击数以百万计的Facebook用户，例如散播恶意软件、广告软件和间谍软件等等。对于用户来说，为了远离这些威胁的攻击最好不要接受不认识的人员加为好友的请求，千万不要点击不明来源的链接。

原因是Facebook的个人概况中包含了许多个人信息，“好友”通过则这些信息足以发动有针对性的钓鱼攻击，或者向您发送有针对性的垃圾邮件。但是如果您点击了一个共享链接结果会怎样呢？很明显，对他们来说，您就不会有什么隐私了！！！为了安全和隐私起见，一定要注意您在社交网络上的个人简介。

攻击者能够利用这些XSS漏洞攻击数以百万计的Facebook用户，例如散播恶意软件、广告软件和间谍软件等等。拜这些高危跨站点脚本攻击漏洞所赐，Facebook用户可能受到钓鱼攻击并导致ID失窃。截至本月5号为止，这些漏洞尚未得到修复，这些高危漏洞已经对用户的隐私构成了高度的威胁。

下面我们对这些最新漏洞分析进行介绍：

1号XSS漏洞：

所在位置：http://www.new.facebook.com/r.php
问题页面的镜像：http://www.xssed.com/mirror/50947/
攻击性POST：reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar

2号XSS漏洞

所在位置：
https://login.facebook.com/login.php?iphone&next=http%3A%2F%2Fiphone.facebook.com%2F

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点