用“重新连接”工具入侵Facebook账户
相关标签: # 漏洞# 研究# 攻击# 工具# 入侵
该漏洞不允许黑客访问您的实际Facebook密码,但允许他们使用由第三方网站开发的Facebook应用程序访问您的帐户,如一点利索,马萨布尔,维梅奥,关于我,偶然发现,天使有限公司还有可能更多。
该漏洞利用了三个CSRFs保护
伊戈尔·霍马科夫一年前,pentesting公司Sakurity的研究员让这家社交网络巨头意识到了这个漏洞,但该公司拒绝修复该漏洞,因为这样做会破坏Facebook与互联网上大量网站的兼容性。
关键缺陷在于缺乏CSRF(跨站点请求伪造) protection for three different processes —
- Facebook登录
- Facebook注销
- 第三方帐户连接
前两个问题“可以通过Facebook修复,”霍马科夫说,但还没有做到。然而,第三个问题需要由网站所有者(即已整合的用户)解决使用Facebook登录“将功能添加到他们的网站中。
入侵FACEBOOK账户的工具
因此,指责Facebook在《使用Facebook登录该研究人员公开发布了一个名为重新连接,利用该漏洞,黑客可以生成URL,用于劫持使用使用Facebook登录“按钮。
"去黑帽队,别害羞!"霍马科夫在他的推特上写道,据称他鼓励黑客和网络犯罪分子从他随时可用的工具中获益。
霍马科夫还发表了一篇博客文章,为黑客提供了一个逐步建立流氓Facebook账户的过程,当受害者被骗点击攻击者提供的恶意URL时,他们会被重定向到该账户。
“现在,我们的Facebook帐户已连接到该网站上的受害者帐户,我们可以直接登录该帐户来更改电子邮件/密码、取消预订、阅读私人消息等。”Homakov wrote in a blog post。
重新连接Facebook黑客工具可以生成恶意URL,劫持包括预订在内的第三方网站上的Facebook账户。com,Bit。大概吧。我,偶然发现,天使。co、Mashable和Vimeo。
但是,任何支持使用Facebook登录“可以通过手动将其链接插入代表用户生成Facebook登录请求的工具来进行黑客攻击。
但是,任何支持使用Facebook登录“可以通过手动将其链接插入代表用户生成Facebook登录请求的工具来进行黑客攻击。
如何保护自己?
通过计算互联网上有多少网站使用了这种蓝色的工具,你可能会意识到重新连接Facebook黑客工具的危险后果F“Facebook登录按钮。一旦黑客设法进入你的账户,他们就可以访问你的私人信息,并利用这些信息入侵你的其他在线账户。
所以,为了防止你的账户受到恶意黑客的攻击,不要点击通过在线消息、电子邮件或社交媒体帐户向您提供的任何可疑URL。上网时一定要小心。
FACEBOOK对此做出了回应
Facebook表示,它已经意识到这个问题一段时间了,第三方网站可以在使用Facebook登录功能时利用Facebook的最佳实践来保护用户。
Facebook发言人发表声明称,“这是一个很好理解的行为。使用登录的网站开发人员可以通过遵循我们的最佳实践并使用我们为OAuth登录提供的‘state’参数来防止这个问题。”
该公司还补充说,他们也做出了各种改变,以帮助防止登录CSRF,并正在评估其他人“旨在为大量依赖Facebook登录的网站保留必要的功能。”
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
