Acabo de leer el siguiente aviso en enlace . En su sección de soluciones, encontré un texto tachado: "Solo funciona cuando inicias sesión en Facebook". ¿Qué tiene de malo? Si requiere que los usuarios inicien sesión para explotar, ¿sigue siendo una vulnerabilidad?
Sí. Supongo que antes de ese punto, un usuario ni siquiera tenía que iniciar sesión para ser redirigido a través de Facebook. Pero luego, durante algún tiempo, el usuario necesitaba iniciar sesión en Facebook para que funcionara.
Sigue siendo un problema, ya que muchas personas siempre inician sesión en Facebook. Aunque a pesar de que un usuario ahora puede tener abierto Facebook ahora, es posible que aún esté conectado, por lo que el sistema de redirección aún puede ser objeto de abuso para una parte justa de las personas en Internet, dependiendo de la audiencia. El cuadro de inicio de sesión no aparecerá, ya que Facebook reconocerá la cookie de sesión que se le envía.
El hecho de que requiera la autenticación del usuario realmente no redujo mucho el riesgo. OMI, el usuario con más probabilidades de ser atacado por una vulnerabilidad como esta es el usuario que va a iniciar sesión y / o estar activo en Facebook.
Desde entonces, la vulnerabilidad ha sido parcheada (o eso se dice), pero sí, aún era una vulnerabilidad cuando se requería la autenticación del usuario.
Cosas como la ofuscación y los enlaces redirigidos han existido durante años, me sorprende que la gente siga siendo engañada por estos ... Si no proviene de una fuente legítima, no hagas clic.
Lea otras preguntas en las etiquetas url-redirection