Dziurawy Facebook
W portalu społecznościowym Facebook odkryto dość poważną lukę, która może ułatwić atakującemu przejęcie kontroli nad kontem nieświadomego użytkownika.
Okazuje się, że Facebook pozwala cybeprzestępcy na wykonanie skryptu ułatwiającego stworzenie fałszywej strony logowania. Dzięki niej atakujący może w bardzo łatwy sposób przejąć identyfikator i hasło osoby posiadającej konto w serwisie - można przeczytać na blogu XSSED.
Autorem odkrycia jest osoba ukrywająca się pod pseudonimem "Mox".
Luka typu cross-site scripting pozwala atakującemu na wyświetlenie strony pochodzącej z innego serwera, czy też uruchomić złośliwy kod "buszujący" wśród danych znajdujących się na atakowanej maszynie.
Ataki cross-site scripting stają się najpopularniejszym wektorem dla cyberprzestępców. Zajmujący się bezpieczeństwem eksperci ostrzegają, iż spory odsetek powiększającej się ciągle liczby stron internetowych jest podatny na tego typu atak. W 2006 roku Web Application Security Consortium podało, iż w przypadku 31 373 przebadanych serwisów ponad 85 procent było niezabezpieczonych przed atakami cross-site scripting.
