giovedì 27 settembre 2012

Ricercatore trova vulnerabilità in Facebook Url reindirizzamento aperto


Il ricercatore di sicurezza Rafay Baloch sostiene di aver trovato una vulnerabilità open redirect in Facebook. Per dimostrare la sua scoperte, ha pubblicato un video del proof-of-concept sul suo blog. L'open redirect può essere utilizzato come trucco dai criminali informatici per far credere alle vittime che stanno per visitare un sito web sicuro, quando in realtà stanno venendo indirizzati a un dominio arbitrario.

Al fine di proteggere gli utenti contro gli attacchi che si basano su open redirect, Facebook ha implementato un sistema di sicurezza che avvisa i clienti nel caso in cui essi sono in procinto di visitare un sito potenzialmente dannoso, tuttavia, l'esperto ha individuato un modo per saltare - almeno in parte - questo meccanismo di protezione. Si tratta di una forma di uso illecito particolarmente grave perchè sfrutta la funzionalità del sito.


Quando un utente fa click su un link (incluso in un post o messaggio), Facebook se rileva che l'URL è dannoso, visualizzerà una pagina interstiziale prima che la request del browser rimandi effettivamente alla pagina sospetta. La vulnerabilità che ha scoperto è causata da una debolezza del parametro di filtro e non può essere utilizzato come un reindirizzamento completamento aperto, ma può essere utilizzato soltanto in una certa misura.

I rappresentanti del social network hanno riconosciuto l'esistenza del difetto, ma non è certo se affronteranno la questione nell'immediato futuro. "Questo endpoint contiene un parametro speciale che ne limita l'utilizzo a un numero limitato di computer e utenti, impedendo che venga usato come un completo open redirect", dice Facebook. URL vulnerabile: www.facebook.com/l.php?u=https://rafayhackingarticles.net&h=YAQH4kMuY&s=1.


1 commento:

  1. E' una vita che segnalo tramite OPERA next browser a NetCraft che le connessioni sono spesso non criptate e quindi non sicure, per non parlare del bug nella chat che duplica i messaggi al di fuori dell'apposita finestra...E' tempo che i developers di Facebook facciano ordine altrimenti vedranno scendere ulteriormente il valore delle loro azioni. Vogliamo parlare poi del riconiscimento facciale dei tags, vietato dall'UE entro il 15 ottobre 2012?

    RispondiElimina

Related Posts Plugin for WordPress, Blogger...