Homakov Mar 7 2015 at 20:17

Reconnect — уязвимость в Facebook Login

2 min

37K

Facebook API*Information Security*

+77

Comments 19

UFO landed and left these words here

jonic Mar 8 2015 at 18:11

Только вот потом можно зайти на сайт под своим же фейсбуком доступ к которому есть у нас и от которого была произведена перевязка аккаунта.

UFO landed and left these words here

Beltoev Mar 7 2015 at 22:56

Эта фраза мне явно кого-то напоминает…

Beltoev Mar 8 2015 at 23:55

Для тех, кто минусует, не понимая о чем речь: «Мы встроили тебе <объект> в <объект>, чтобы ты мог <действие> <объект> в <объект>» — это коронная фраза xzibit-a из «Тачка на прокачку»

Для тех, кто реально в танке, есть +100500 мемов на эту тему в сети

Источник: pikabu.ru/tag/Xzibit/hot

Kukunin Mar 9 2015 at 11:43

Осмелюсь обьяснить, что xzibit и так подразумевался в изначальной фразе. В случае Вашего комментария, вы просто огласили то, что уже всем понятно.
Ваш КО

annmuor Mar 8 2015 at 02:13

Забавная идея. Хостинг-то абузоустойчивый? А то сейчас моралфаги набегут :-)

Homakov Mar 8 2015 at 02:40

обычный хероку. А в чем моралфаги то Оо. ФБ отказался исправлять, я сделал инструмент, все довольны.

annmuor Mar 8 2015 at 02:42

Так готовая тулза для угона это уже нифига не PoC же. 10 лет назад когда я аналогичную тулзу для xss разместил — заабузили. То правда было на территории РФ.

Homakov Mar 8 2015 at 04:41

Не совсем готовая, допилить UI надо немного. Но не поможешь блекхатам сам, никто не поможет.

Starche Mar 8 2015 at 02:57

Егор, прекрати ломать интернет!
Нет, ну серьёзно, что не уязвимость, так что-то глобальное. А разработчикам потом головная боль всё это закрывать. Пожалей людей!

mickvav Mar 8 2015 at 08:23

Дык нефиг было в WontFix посылать. ССЗБ.

entze Mar 8 2015 at 08:18

А 2FA спасет?

Grebenshikov Mar 8 2015 at 10:50

При чем тут 2fa то?

Homakov Mar 8 2015 at 11:51

А https спасет? А мыть руки перед едой спасет? )

annmuor Mar 8 2015 at 22:10

links/lynx спасет :-)

Kukunin Mar 9 2015 at 11:40

Для Firefox этого не нужно — он не отсылает Origin вообще для обычных form-based запросов.

А что говорит спецификация? Кто прав, а кто не прав? Нужно ли отправлять Origin для обычного GET запроса?

powerman Mar 11 2015 at 18:39

Насколько я помню, Origin это часть спеки на CORS, а она ради совместимости с существующими решениями требует отправки Origin только для нетипичных запросов (через XHR, с кастомными заголовками, etc.), поэтому для обычных GET через a href/img src и POST через form Origin и прочие CORS-специфичные запросы и заголовки не требуются. Безусловно, не требуется — не значит, что они запрещены. Так что, думаю, оба правы.

Santacruz Mar 10 2015 at 13:14

«Теперь когда наш фейсбук подключен к аккаунту жертвы мы можем напрямую зайти в аккаунт жертвы»

C какого перепугу то что ты перелогинил чей то браузер под другой логин привязывает этот логин на других сайтах?