- PVSM.RU - https://www.pvsm.ru -
Изображение: Pexels [1]
Исследователи информационной безопасности обнаружили [2] уязвимость в социальной сети Facebook – эта ошибка могла приводить к утечкам конфиденциальной информации о пользователях и их друзьях. Ошибка обнаружена в функции поиска соцсети.
По словам исследователя Рона Масаса из компании Imperva, страница, на которой отображаются результаты поиска, включает в себя связанные с результатами поиска элементы iFrame. Конечные URL этих iFrame никак не защищены от атак межсайтовой подделки запроса cross-site request forgery, CSRF).
Для эксплуатации уязвимости, атакующему нужно обманом убедить пользователей посетить специальный сайт. Важно, чтобы при этом пользователь был залогинен в свой профиль в Facebook. При любом клике на веб-странице в фоновом режиме будет исполнен JavaScript-код. Этот код открывает новую вкладку с URL Facebook, в которой выполняется заранее определенный запрос с целью получения нужной злоумышленнику информации.
Данную атаку можно использовать как для поиска информации вида «фото из отпуске», так и для извлечения более чувствительных данных, включая:
Таким образом, уязвимость раскрывает чувствительные данные пользователей даже в том случае, если они установили настройки приватности, запрещающие демонстрацию такой информации посторонним.
Процесс может быть многократно повторен без необходимости открытия новых вкладок. В итоге данная атака представляет наибольшую опасность для мобильных пользователей – им труднее отследить открытие новых вкладок.
Исследователи обратились в Facebook, и компания уже устранила уязвимость. Инженеры соцсети добавили защиту от CSRF-атак.
Когда разработка ставится на поток из-за высокого спроса на услуги и продукты, все больше разработчиков внедряют процессы непрерывной интеграции и поставки (CI/CD). Неотъемлемая часть CI/CD — обеспечение безопасности разрабатываемого ПО. Особенно важно точно и без отрыва от производства выявлять и устранять уязвимости. Однако на практике не все так просто.
Многие ошибочно считают, что анализа качества кода достаточно для проверки ПО, в том числе на риски безопасности. А те, кто понимает, что это не так, и прибегает к инструментам анализа защищенности, сталкиваются с проблемой верификации уязвимостей. Она, как правило, выполняется вручную, а с учетом того, что число уязвимостей может достигать сотен и тысяч, эффективность процесса CI/CD и целесообразность его поддержки оказываются под большим вопросом.
В четверг, 22 ноября в 14:00, эксперт отдела систем защиты приложений Positive Technologies Алексей Жуков проведет бесплатный вебинар. В его ходе вы узнаете, как добиться того, чтобы в условиях непрерывных процессов, больших объемов и горящих дедлайнов дефекты безопасности не остались незамеченными, а их верификация не стала бутылочным горлышком. Алексей расскажет о том, как грамотно автоматизировать процесс обеспечения безопасности ПО и повысить эффективность выполнения основных задач. Вебинар будет полезен для разработчиков и специалистов DevOps.
Для участия в вебинаре нужно зарегистрироваться [3].
Автор: ptsecurity
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/facebook/299863
Ссылки в тексте:
[1] Pexels: https://www.pexels.com/photo/women-typing-on-the-notebook-6168/
[2] обнаружили: https://thehackernews.com/2018/11/facebook-vulnerability-hack.html
[3] зарегистрироваться: https://www.ptsecurity.com/ru-ru/research/webinar/296413/
[4] Источник: https://habr.com/post/430644/?utm_campaign=430644
Нажмите здесь для печати.