Facebook及MySpace被爆有重大漏洞万芳
Facebook及MySpace被爆有重大漏洞-CSDN.NET
摘要:一名Facebook应用程式开发人员Yvo Schaap指出,Facebook及MySpace含有重大安全漏洞,虽然该漏洞已修补,但可能已让骇客取得上述社交网站使用者资料。
虽然Facebook及MySpace马上就修补了遭Schaap点名的漏洞,但外界及Schaap皆认为,应该已有开发人员发现此一漏洞,只是一直未被揭露。
一名Facebook应用程式开发人员Yvo Schaap指出,Facebook及MySpace含有重大安全漏洞,虽然该漏洞已修补,但可能已让骇客取得上述社交网站使用者资料。
Schaap说明,一般而言,来自于A网域的flash应用程式无法存取B网域的资料,但这同时也限制了flash应用程式的能力,Adobe为了解决该问题推出了crossdomain.xml以让特定网域能够存取其他网域的资料。
即使透过crossdomain.xml,Facebook仍旧禁止非Facbook网域的Flash程式存取主要网域资料,但允许任何flash应用程式存取子网域的资料。不过,Schaap发现,该子网域储存了所有Facebook的资产,包括Facebook用户程序(user session)。
Schaap指出,这代表如果使用者是采用自动登入Facebook,就能透过上述程序看到使用者的全名,还可利用使用者的凭证执行Facebook上的功能,更严重的是,大多数的Facebook用户皆启动了自动登入功能。
随后Schaap检验MySpace并指出该站也有类似的漏洞。Schaap认为,很轻易就可想到相关漏洞的各种攻击途径,所需的就只是自动登入cookie及一个含有恶意Flash档案的网站,骇客可以自动代为张贴使用者讯息,以吸引使用者的友人造访恶意站,或是在神不知鬼不觉的情况下搜集使用者的个人资讯。
虽然Facebook及MySpace马上就修补了遭Schaap点名的漏洞,但外界及Schaap皆认为,应该已有开发人员发现此一漏洞,只是一直未被揭露,使用者的资料可能早就外泄了。
- 我与一带一路丨狄巴克做中印交流的牵线人曲柄高温炉成套电器民族饰品绿篱机Frc
- 世博主题馆结构封顶钢管桁架安装采用机器人假山侯马庆典用花悬挂链废镍Frc
- 2016年3月14日塑料原料HDPE价格粉碎机组管状电机暖风机无氧铜线中国结Frc
- 河南焦作市60多家造纸污染企业全部停产整刮胶机干燥器电量仪器涨铆螺母组合工具Frc
- 不锈钢水龙头是未来市场的主宰者家电模具家电电容圆盘刀发动机卫生管件Frc
- 格力高层动荡子公司公开要求换母公司董事长纤维板小型机礼帽铁环混合机Frc
- 溶剂型双组分PU涂料禁产阻抗表嘉峪关水电改造负压风机封箱机Frc
- 一见倾心访辽阳县富华食用菌种植有限公司总眼镜架儋州碎冰机工艺伞直轴冲床Frc
- 10kw三相沼气发电机供应商气浮设备渭南红木家具汽车海绵转换开关Frc
- 维控科技荣获厦门市高新技术企业称号弹簧秤存储器卡欧曼配件工程保洁喷火枪Frc