Keltos
08.09.2009, 14:02
Один из экспертов в области безопасности обязался в течение сентября раскрыть подробности о ряде уязвимостей к межсайтовому скриптингу в приложениях Facebook.
Исследователь, известный под ником theharmonyguy, планирует уведомлять разработчиков о наличии багов за 24 часа до момента публикации сведений о них. Примером для проведения акции послужил организованный Авивом Раффом в июле месячник багов для Twitter.
Стартовал месячник с публикации данных о пропатченных уязвимостях в FunSpace, SuperPoke! и ряде других приложений. После этого в прошлый вторник была обнародована информация о непропатченной дыре в приложении FarmVille. Его разработчик оперативно закрыл обнаруженную исследователем брешь.
Дыра в приложении Causes, данные о которой были опубликованы в минувшую среду, также была закрыта. Оба приложения до своего обновления были уязвимыми к клик-джекингу, технологии, позволявшей злоумышленникам проводить XSS-атаки, заставляя пользователей кликать по невидимым ссылкам или диалоговым окнам.
Автор идеи, взявший неплохой старт с помощью пяти припасенных уязвимостей, приглашает других экспертов также публиковать обнаруженные ими дыры.
Однако, даже прибегнув к помощи со стороны, выпускать сведения о новых дырах каждый день эксперту вряд ли удастся, поэтому дни перерыва можно будет посвятить публикации данных о вредоносных приложениях для Facebook.
К примеру, Рик Фергюсон из Trend Micro пару недель назад написал сообщение на блоге, где рассказал о по меньшей мере , которые ему удалось обнаружить. Большая их часть была нацелена на кражу данных авторизации.
Источник (http://www.xakep.ru/post/49392/default.asp)
Исследователь, известный под ником theharmonyguy, планирует уведомлять разработчиков о наличии багов за 24 часа до момента публикации сведений о них. Примером для проведения акции послужил организованный Авивом Раффом в июле месячник багов для Twitter.
Стартовал месячник с публикации данных о пропатченных уязвимостях в FunSpace, SuperPoke! и ряде других приложений. После этого в прошлый вторник была обнародована информация о непропатченной дыре в приложении FarmVille. Его разработчик оперативно закрыл обнаруженную исследователем брешь.
Дыра в приложении Causes, данные о которой были опубликованы в минувшую среду, также была закрыта. Оба приложения до своего обновления были уязвимыми к клик-джекингу, технологии, позволявшей злоумышленникам проводить XSS-атаки, заставляя пользователей кликать по невидимым ссылкам или диалоговым окнам.
Автор идеи, взявший неплохой старт с помощью пяти припасенных уязвимостей, приглашает других экспертов также публиковать обнаруженные ими дыры.
Однако, даже прибегнув к помощи со стороны, выпускать сведения о новых дырах каждый день эксперту вряд ли удастся, поэтому дни перерыва можно будет посвятить публикации данных о вредоносных приложениях для Facebook.
К примеру, Рик Фергюсон из Trend Micro пару недель назад написал сообщение на блоге, где рассказал о по меньшей мере , которые ему удалось обнаружить. Большая их часть была нацелена на кражу данных авторизации.
Источник (http://www.xakep.ru/post/49392/default.asp)