Zpět na seznam aktualit     Číst komentáře (0)     Verze pro tisk

Facebook vyplatil 3.500$ za nahlášenou XSS zranitelnost

Autor: .cCuMiNn.   
4.1.2013

Frans Rosén odhalil na Facebooku XSS zranitelnost náhodou, když testoval zranitelnosti na Dropboxu.

Frans se nejprve pokoušel na Dropbox nahrát soubor s názvem:
'"><img src=x onerror=alert(document.domain)>.txt,
na čež mu bylo sděleno, že obsahuje nepovolené znaky. Když však stejným způsobem pojmenoval lokální soubor a spustil synchronizaci s Dropboxem, útok se mu podařil.

Později si ještě všiml, že existuje souvislost mezi Dropboxem a Facebookem: Je možné přidat soubory z Dropboxu přímo k Facebook skupinám.
Když pak klikl na odkaz sdílet podařilo se mu skript umístěný ve jménu souboru z Dropboxu spustit i na Facebooku.

Facebook v rámci svého programu pro oznamování zranitelností vyplatil Fransovi za nahlášení tohoto XSS odměnu ve výši 3.500$.


Zdroj: http://www.ehackingnews.com/2013/01/stored-xss-vulnerability…


Social Bookmarking

     





Hodnocení/Hlasovalo: 0/0

1  2  3  4  5    
(známkování jako ve škole)