Homakov7 мар 2015 в 17:17

Reconnect — уязвимость в Facebook Login

2 мин

37K

Facebook API * Информационная безопасность *

+76

Комментарии 19

НЛО прилетело и опубликовало эту надпись здесь

jonic 8 мар 2015 в 15:11

Только вот потом можно зайти на сайт под своим же фейсбуком доступ к которому есть у нас и от которого была произведена перевязка аккаунта.

НЛО прилетело и опубликовало эту надпись здесь

Beltoev 7 мар 2015 в 19:56

Эта фраза мне явно кого-то напоминает…

Beltoev 8 мар 2015 в 20:55

Для тех, кто минусует, не понимая о чем речь: «Мы встроили тебе <объект> в <объект>, чтобы ты мог <действие> <объект> в <объект>» — это коронная фраза xzibit-a из «Тачка на прокачку»

Для тех, кто реально в танке, есть +100500 мемов на эту тему в сети

Источник: pikabu.ru/tag/Xzibit/hot

Kukunin 9 мар 2015 в 08:43

Осмелюсь обьяснить, что xzibit и так подразумевался в изначальной фразе. В случае Вашего комментария, вы просто огласили то, что уже всем понятно.
Ваш КО

annmuor 7 мар 2015 в 23:13

Забавная идея. Хостинг-то абузоустойчивый? А то сейчас моралфаги набегут :-)

Homakov 7 мар 2015 в 23:40

обычный хероку. А в чем моралфаги то Оо. ФБ отказался исправлять, я сделал инструмент, все довольны.

annmuor 7 мар 2015 в 23:42

Так готовая тулза для угона это уже нифига не PoC же. 10 лет назад когда я аналогичную тулзу для xss разместил — заабузили. То правда было на территории РФ.

Homakov 8 мар 2015 в 01:41

Не совсем готовая, допилить UI надо немного. Но не поможешь блекхатам сам, никто не поможет.

Starche 7 мар 2015 в 23:57

Егор, прекрати ломать интернет!
Нет, ну серьёзно, что не уязвимость, так что-то глобальное. А разработчикам потом головная боль всё это закрывать. Пожалей людей!

mickvav 8 мар 2015 в 05:23

Дык нефиг было в WontFix посылать. ССЗБ.

entze 8 мар 2015 в 05:18

А 2FA спасет?

Grebenshikov 8 мар 2015 в 07:50

При чем тут 2fa то?

Homakov 8 мар 2015 в 08:51

А https спасет? А мыть руки перед едой спасет? )

annmuor 8 мар 2015 в 19:10

links/lynx спасет :-)

Kukunin 9 мар 2015 в 08:40

Для Firefox этого не нужно — он не отсылает Origin вообще для обычных form-based запросов.

А что говорит спецификация? Кто прав, а кто не прав? Нужно ли отправлять Origin для обычного GET запроса?

powerman 11 мар 2015 в 15:39

Насколько я помню, Origin это часть спеки на CORS, а она ради совместимости с существующими решениями требует отправки Origin только для нетипичных запросов (через XHR, с кастомными заголовками, etc.), поэтому для обычных GET через a href/img src и POST через form Origin и прочие CORS-специфичные запросы и заголовки не требуются. Безусловно, не требуется — не значит, что они запрещены. Так что, думаю, оба правы.

Santacruz 10 мар 2015 в 10:14

«Теперь когда наш фейсбук подключен к аккаунту жертвы мы можем напрямую зайти в аккаунт жертвы»

C какого перепугу то что ты перелогинил чей то браузер под другой логин привязывает этот логин на других сайтах?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий