3 feb. 2016

Cross-site Scripting (XSS) en #FacebookApesta al subir imágenes

Facebook es la red social más utilizada en todo el mundo. Gracias a ella podemos estar en contacto con nuestros amigos y conocidos en todo momento, sin embargo, la red social también cuenta con una gran información personal sobre cada usuario, lo que la convierte en un interesante objetivo para los piratas informáticos. Aunque los servidores de Facebook cuentan con una serie de medidas avanzadas para evitar ataques informáticos como, por ejemplo, la subida de archivos no permitidos a sus servidores, en ocasiones estas medidas fallan, brindando a usuarios no autorizados acceso a otras cuentas de usuario, tal como ha descubierto Jack Whitton.
Este investigador de seguridad de origen británico, ha detectado y reportado una vulnerabilidad crítica Cross-site Scripting (XSS) en Facebook que podía permitir tomar el control total de una cuenta mediante el uso de imágenes .png con cierto código HTML oculto en ellas (lo que se conoce como esteganografía).

Este investigador de seguridad ha conseguido engañar a los servidores de Facebook de manera que al subir la imagen .png modificada, de cara a los servidores se pensara que se trataba de una imagen real, sin embargo, al guardarse en ellos esta se convertía automáticamente a formato html, brindando acceso a una web modificada desde dentro de la red social, simplemente con un clic.

Tras conseguir evadir los sistemas de seguridad del CDN de Facebook, este investigador de seguridad finalmente consiguió subir la página HTML a través de un iframe, la cual, le permitió acceder a las cookies del usuario e interactuar con ellas, consiguiendo así acceso completo a la cuenta de la víctima.

La vulnerabilidad fue solucionada tan solo unas horas después del reporte y su correcta identificación. Además, este investigador de seguridad ha sido recompensado con 7.500 dólares del programa Bug Bounty por el descubrimiento y el reporte de la vulnerabilidad.

Fuente: RedesZone

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!