ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Один из экспертов в области безопасности обязался в течение сентября раскрыть подробности о ряде уязвимостей к межсайтовому скриптингу в приложениях Facebook.

Исследователь, известный под ником theharmonyguy, планирует уведомлять разработчиков о наличии багов за 24 часа до момента публикации сведений о них. Примером для проведения акции послужил организованный Авивом Раффом в июле месячник багов для Twitter.

Стартовал месячник с публикации данных о пропатченных уязвимостях в FunSpace, SuperPoke! и ряде других приложений. После этого в прошлый вторник была обнародована информация о непропатченной дыре в приложении FarmVille. Его разработчик оперативно закрыл обнаруженную исследователем брешь.

Дыра в приложении Causes, данные о которой были опубликованы в минувшую среду, также была закрыта. Оба приложения до своего обновления были уязвимыми к клик-джекингу, технологии, позволявшей злоумышленникам проводить XSS-атаки, заставляя пользователей кликать по невидимым ссылкам или диалоговым окнам.

Автор идеи, взявший неплохой старт с помощью пяти припасенных уязвимостей, приглашает других экспертов также публиковать обнаруженные ими дыры.

Однако, даже прибегнув к помощи со стороны, выпускать сведения о новых дырах каждый день эксперту вряд ли удастся, поэтому дни перерыва можно будет посвятить публикации данных о вредоносных приложениях для Facebook.

К примеру, Рик Фергюсон из Trend Micro пару недель назад написал сообщение на блоге, где рассказал о по меньшей мере , которые ему удалось обнаружить. Большая их часть была нацелена на кражу данных авторизации.

Источник