Hubo un reciente ataque XSS en Facebook que publicó un mensaje vulgar y logró que los usuarios hicieran clic en un enlace para distribuir la carga útil. ¿Qué vulnerabilidad se explotó y qué pueden hacer otros sitios para evitar un ataque similar?
Aquí hay una buena referencia general enlace
por www.infosecisland.com:
De Candid Wueest de Symantec:
"La vulnerabilidad existe en la versión de la API móvil de Facebook debido a un filtrado de JavaScript insuficiente. Permite que cualquier sitio web incluya, por ejemplo, un elemento iframe preparado malintencionadamente que contenga JavaScript o utilice el valor de" actualización "del atributo http-equiv redirigir el navegador a la URL preparada que contiene el JavaScript ".
"Cualquier usuario que inicie sesión en Facebook y visite un sitio que contenga dicho elemento publicará automáticamente un mensaje arbitrario en su muro. No se requiere ninguna otra interacción del usuario, y no hay trucos involucrados, como el clickjacking. "
"Solo visitar un sitio web infectado es suficiente para publicar un mensaje que el atacante ha elegido. Por lo tanto, no debería sorprender que algunos de esos mensajes se difundan muy rápido a través de Facebook. Algunos están publicando enlaces a sitios web infectados, creando XSS Gusanos que se propagan de usuario a usuario ".
Facebook ha parchado la vulnerabilidad XSS basada en JavaScript, y la compañía dice que ahora están trabajando para deshacer el daño causado por el ataque.
Por lo tanto, el problema está relacionado con neutralizar la entrada de datos en las páginas web.
Lea otras preguntas en las etiquetas web-application appsec xss known-vulnerabilities