2013年6月18日 星期二

Facebook Open URL Redirection 網路釣魚漏洞(含影片示範)

Facebook Open URL Redirection 網路釣魚漏洞(含影片示範)

發佈日期:
2013/6/16(由 Arul Kumar.V 發現並發佈概念驗證程式 PoC)

影響說明:
1.使用者會被重新導向到一個不受信任的網頁,進而被植入惡意程式到電腦中。
2.使用者可能會受到網絡釣魚攻擊,被被重新導向到一個偽造的網站。
3.這個錯誤可以在任一版本的瀏覽器上觸發。(註:到2013/6/16前可以成功)
4.到2013/6/16前 Facebook 尚未修正。

影片示範網址:
http://vimeo.com/68469298


測試語法參數:
https://www.facebook.com/dialog/oauth?app_id<Any value> & next= <Any site>

測試語法範例:
https://www.facebook.com/dialog/oauth?app_id=%3D&next=hxxp%3A%2F%2Ffbnew.t15.org

(註:部分瀏覽器會阻擋該 hxxp://fbnew.t15.org 網址,但表示轉址是可以成功的)
其餘詳細的手法,請參閱原作者網址。

轉載自《網路攻防戰》

沒有留言:

張貼留言