Accueil Technologie Facebook La vulnérabilité XSS dans le bouton "Se connecter avec Facebook" remporte une...

La vulnérabilité XSS dans le bouton “Se connecter avec Facebook” remporte une prime de 20 000 dollars

Une vulnérabilité de type XSS (Cross-Site Scripting) qui a affecté le bouton “Se connecter avec Facebook” a rapporté 20 000 dollars à un chercheur en sécurité.

Vinoth Kumar a découvert la vulnérabilité XSS basée sur le DOM dans une technologie qui donne aux sites web tiers la possibilité d’authentifier les visiteurs via la plateforme Facebook.

Le problème de sécurité s’est posé en raison d’une mise en œuvre déficiente de l’API postMessage.

La méthode window.postMessage() permet une communication croisée entre les objets Window, par exemple entre une page web et une iframe qui y est intégrée.

M. Kumar a décrit cette technologie comme une voie sous-explorée pour les chasseurs de bogues de sécurité, d’où sa décision de se pencher sur la mise en œuvre de Facebook.

Un autre chercheur en sécurité, Enguerran Gillier, a récemment découvert une faille XSS techniquement similaire dans Gmail, comme l’a récemment rapporté le Daily Swig.

Kumar a commencé par examiner les plugins tiers de Facebook afin d’essayer de localiser les problèmes potentiels des iframe. Il a trouvé une piste d’exploration fructueuse en examinant le SDK de connexion à Facebook pour JavaScript.

La sous-traitance de la modération nuit à Facebook
A LIRE

Le chercheur en sécurité s’est rendu compte qu’il n’y avait pas de validation d’URL/schéma lors de l’exécution du JavaScript – ouvrant la possibilité d’exécuter une attaque basée sur DOM XSS, comme l’explique M. Kumar dans un billet technique de blog documentant sa découverte.

CatchUp est une application mobile expérimentale pour les appels vocaux
A LIRE

“Si nous envoyons une charge utile avec l’url : “javascript:alert(document.domain)” à l’iframe https://www.facebook.com/v6.0/plugins/login_button.php et que l’utilisateur clique sur le bouton Continue With Facebook, javascript:alert(document.domain) serait exécuté sur [le] domaine facebook.com”.

Cette faille a créé un mécanisme permettant à un attaquant malveillant de s’emparer de comptes ciblés, à condition qu’il soit capable de tromper des marques potentielles en cliquant sur un bouton d’un site web malveillant.

Kumar explique : “En raison d’une configuration incorrecte des messages postés, une personne visitant un site web contrôlé par un attaquant et cliquant sur le bouton Facebook déclencherait un XSS sur le domaine facebook.com au nom de l’utilisateur connecté.

Le rapport du chercheur en sécurité comprend un lien vers une vidéo YouTube démontrant un exploit de preuve de concept en action.

Le géant des réseaux sociaux a confirmé le problème, qu’il a résolu en “ajoutant [un] domaine regex facebook.com et une vérification du schéma dans le paramètre de l’url de la charge utile”, selon M. Kumar.

CatchUp est une application mobile expérimentale pour les appels vocaux
A LIRE

Le chercheur a signalé le problème à Facebook le 17 avril, trois jours avant que le réseau social ne résolve le bug de sécurité. Facebook a versé une prime de 20 000 dollars pour la découverte du bug de Kumar le 1er mai.

La sous-traitance de la modération nuit à Facebook
A LIRE

La société de réseau social a déclaré à M. Kumar que ses journaux ne montraient aucune exploitation malveillante du bogue de sécurité découvert par le chercheur.

Facebook n’a pas encore répondu aux questions du Daily Swig concernant le bug de sécurité.

Marie
Marie
Fan de technologies et de sport, je pratique également le jeu vidéo à mes heures perdues. Auteure de génie ici même.

LES + LUS

Google Maps ajoute de nouvelles fonctionnalités pour vous préparer à la vie à l’ère de la pandémie

Google Maps a introduit une foule de nouvelles fonctionnalités qui aideront les personnes qui se déplacent à une...

La sous-traitance de la modération nuit à Facebook

Un nouveau rapport du Stern Center for Business and Human Rights de l'université de New York accuse Facebook Inc. et d'autres géants...

Le développement de jeu coûtera plus cher sur PS5 que sur PS4

La PlayStation 5 et la Xbox Series X sont prêtes à sortir cette année, donnant le coup d'envoi de la prochaine génération...

La navigateur Brave injecte son code d’affiliation sur les sites de crypto monnaie

Brave Browser est indéniablement un produit commercial d'abord, et un navigateur web axé sur la protection de la vie privée ensuite. Bien...

Nous utilisons des cookies pour vous offrir la meilleure expérience en ligne. En acceptant, vous acceptez l'utilisation de cookies conformément à notre politique de confidentialité des cookies.

Privacy Settings saved!
Paramètres de confidentialité

Lorsque vous visitez un site Web, il peut stocker ou récupérer des informations sur votre navigateur, principalement sous la forme de cookies. Contrôlez vos services de cookies personnels ici.

Ces cookies nous permettent de compter les visites et les sources de trafic, donc nous pouvons mesurer et améliorer les performances de notre site.

Nous suivons les informations utilisateur anonymisées pour améliorer notre site Web.
  • _ga
  • _gid
  • _gat

Refuser tous les services
Accepter tous les services
error: