الكشف عن ثغرة في موقع الفيس بوك تمكن المهاجم من رفع ملف تنفيذي
كشف مؤخرا موقع سكيورتي بنتست ، عن ثغرة خطيرة في موقع الفيسبوك ، هذه الاخيرة التي يمكن ان تشكل كذلك خطورة على مستخدمي
. الفيسبوك خصوصا اجهزة المستخدمين ، حيث ان الثغرة تمكن المهاجم من القيام برفع ملف تنفيذي ونشره على بروفايله
. الفيسبوك خصوصا اجهزة المستخدمين ، حيث ان الثغرة تمكن المهاجم من القيام برفع ملف تنفيذي ونشره على بروفايله
فكلنا نعلم انه يمكن ان ننشر فيديوهات ، وصور على حائط الفيسبوك ، لكن لايمكن ان تقوم برفع ملف تنفيذي كبرنامج
. على سبيل المثال ، ذلك لأنه عند تحميل برنامج ستضهرلك نافذة تخبرك انه ممنوع رفع مثل هذه الملفات
. على سبيل المثال ، ذلك لأنه عند تحميل برنامج ستضهرلك نافذة تخبرك انه ممنوع رفع مثل هذه الملفات
الثغرة تكمن في تغير سطر إرسال البينات عبر إضافة مساحة فارغة امام اسم الملف التنفيذي ليصبح على هذا الشكل
Content-Disposition: form-data; name="attachment"; filename="cmd.exe "
. وهكذا يمكن للمهاجم إلحاق الملف التنفيذي في رسالته
Content-Disposition: form-data; name="attachment"; filename="cmd.exe "
. وهكذا يمكن للمهاجم إلحاق الملف التنفيذي في رسالته
وتبقى للإشارة انه قد تم إبلاغ شركة الفيسبوك عن الثغرة يوم 09/30/2011 قبل ان يتم نشرها للعموم في 10/27/2011
تعليقات
إرسال تعليق