Java Tutorial 14 - Characters in Java Programming Language | char Data Type in Java
目次:
Facebookは深刻な脆弱性にパッチを当て、攻撃者が個人のユーザーアカウントのデータにアクセスしたり、アカウントを制御したりすることができるようにした。 Webアプリケーションのセキュリティ研究者であるNir Goldshlager氏は、この欠陥を見つけてFacebookに報告したとしているが、その攻撃がどのように彼のブログで行われたかを詳しく説明し、ビデオによるデモンストレーションを行った。
この脆弱性により、潜在的な攻撃者は、OAuthアクセストークンと呼ばれる機密情報を盗む可能性があります。 Facebookは、OAuthプロトコルを使用して、サードパーティのアプリケーションがユーザーの承認後にユーザーアカウントにアクセスできるようにします。
[その他の情報:Windows PCからマルウェアを削除する方法]
Goldshlagerは、モバイルおよびタッチ対応デバイスのFacebookのWebサイトに、不適切な情報が含まれる脆弱性を発見しましたURLパスのサニタイズ。これにより、ユーザーがプロフィールにインストールしたアプリケーションのアクセストークンを盗むために使用された可能性のあるURLを作成することができました。Facebook上のほとんどのアプリケーションは、ユーザーが手動で承認する必要のあるサードパーティのアプリケーションですが、あらかじめ承認されているビルトインアプリケーションはほとんどありません。そのようなアプリケーションの1つがFacebook Messengerです。
Facebookメッセンジャーは、メッセージ、通知、写真、電子メール、ビデオなどを読んだり、送信したり、アップロードしたり、管理したりすることができます。 m.facebook.comとtouch.facebook.comで見つかったURL操作の脆弱性は、Facebook Messengerのユーザーのアクセストークンを盗むために悪用されている可能性があり、攻撃者がアカウントに完全にアクセスできるようになったとGoldshlager氏は述べています。
バグハンターによる攻撃
攻撃URLは、多くのURL短縮サービスの1つと短縮され、別のものへのリンクとして偽装されたユーザーに送信された可能性があります。攻撃者は、Facebookの二要素認証を有効にしたアカウントでも作業を行っていたとGoldshlager氏は説明しています。
アクセストークンとFacebookユーザーIDを使用すると、攻撃者はGraph API Explorerを使用して、 Facebookのサイトで利用可能な開発者のためのツール、Goldshlagerは電子メールで金曜日に言った。
Goldshlagerによると、Facebook Security Teamはこの脆弱性を修正した。 「Facebookには専門のセキュリティチームがいて、問題は非常に速く修正されている」と同氏は述べた。「この問題を我々の注意を引いてくれたセキュリティ研究者に賞賛し、金曜日に電子メールで言った。 「チームと協力して、この脆弱性の完全な範囲を理解し、このバグが野生で悪用されたという証拠なしに修正することができました。 Facebookへのこの問題の責任ある報告のため、ユーザーにこのバグの影響を受けたという証拠はありません。研究者は、Facebookセキュリティに貢献したことを感謝するために、研究者に恩恵を与えている」と述べた。研究者は、Facebookに影響する他のOAuth関連の脆弱性も発見したと主張しているが、
Facebookは、サイトに影響を及ぼす脆弱性を見つけて責任をもって報告するセキュリティ研究者に金銭的報酬を支払うバグバウンティプログラムを運営している。
GoldshlagerはTwitterでまだFacebookの支払いを受けていないこの脆弱性を報告していますが、彼の報告には複数の脆弱性が含まれており、すべてが修正された後に報酬を受け取る可能性があることに留意してください。
Facebookはセキュリティ研究者にバグを見つけて報告するのに非常に効果的だとGoldshlager氏は電子メールで語った。 「どれくらい言えないのか分かりませんが、私が知っている他のバグ賞金プログラムよりも多くを支払っています」。
Facebookのコメントを追加するために午後11時55分に更新