شماره: IRCNE2011101299
تاريخ: 7/08/90
يك متخصص تست نفوذ توانسته است يك نقص امنيتي در فيس بوك را شناسايي كند كه به هكر اجازه مي دهد برنامه هاي خرابكار را براي هر كاربري در فيس بوك ارسال كند.
بنا بر گفته هاي اين متخصص امنيتي فيس بوك در حالت عادي اجازه ارسال فايلهاي اجرايي در قالب پيغام را نمي دهد. روش فيس بوك براي جلوگيري از ارسال فايلهاي اجرايي تجزيه نام فايل در دستور POST مرورگر است، اما در صورتي كه هكر يك فاصله اضافي در انتهاي نام فايل قرار دهد، به راحتي مي تواند يك فايل اجرايي را به عنوان پيوست پيغام خود قرار دهد.
از آنجايي كه فيس بوك اجازه مي دهد هر كاربر براي كاربر ديگر صرف نظر از اينكه در ليست دوستانش باشد يا خير، پيغام بفرستد، بنابراين يك هكر با استفاده از اين روش مي تواند برنامه هاي خرابكار خود را براي همه كاربران فيس بوك ارسال كند.
- 2