Facebook vyplatil 3.500$ za nahlášenou XSS zranitelnost
Frans Rosén odhalil na Facebooku XSS zranitelnost náhodou, když testoval zranitelnosti na Dropboxu.
Frans se nejprve pokoušel na Dropbox nahrát soubor s názvem:
'"><img src=x onerror=alert(document.domain)>.txt,
na čež mu bylo sděleno, že obsahuje nepovolené znaky. Když však stejným způsobem pojmenoval lokální soubor a spustil synchronizaci s Dropboxem, útok se mu podařil.
Později si ještě všiml, že existuje souvislost mezi Dropboxem a Facebookem: Je možné přidat soubory z Dropboxu přímo k Facebook skupinám.
Když pak klikl na odkaz sdílet podařilo se mu skript umístěný ve jménu souboru z Dropboxu spustit i na Facebooku.
Facebook v rámci svého programu pro oznamování zranitelností vyplatil Fransovi za nahlášení tohoto XSS odměnu ve výši 3.500$.
Hodnocení/Hlasovalo: 0/0