Facebook vyplatil 3.500$ za nahlášenou XSS zranitelnost
Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 4.1.2013
Hodnocení/Hlasovalo: 0/0
Frans Rosén odhalil na Facebooku XSS zranitelnost náhodou, když testoval zranitelnosti na Dropboxu.
Frans se nejprve pokoušel na Dropbox nahrát soubor s názvem:
[i]\'\"><img src=x onerror=alert(document.domain)>.txt[/i],
na čež mu bylo sděleno, že obsahuje nepovolené znaky. Když však stejným způsobem pojmenoval lokální soubor a spustil synchronizaci s Dropboxem, útok se mu podařil.
Později si ještě všiml, že existuje souvislost mezi Dropboxem a Facebookem: Je možné přidat soubory z Dropboxu přímo k Facebook skupinám.
Když pak klikl na odkaz [i]sdílet[/i] podařilo se mu skript umístěný ve jménu souboru z Dropboxu spustit i na Facebooku.
Facebook v rámci svého programu pro oznamování zranitelností vyplatil Fransovi za nahlášení tohoto XSS odměnu ve výši 3.500$.