CS50 Live, Episode 003
社交网站MySpace和Facebook显然有固定的编码错误,可能允许攻击者访问其所有用户的数据和照片
考虑到程度t
诸如MySpace和Facebook之类的网站通常会阻止其他域出于隐私原因请求和接收数据,除了它们
[更多阅读:如何从您的Windows PC中删除恶意软件]Facebook禁止其主域上的其他应用程序访问,但荷兰的开发商Yvo Schaap发现Facebook允许数据由于子域也托管了Facebook的所有数据,因此如果受害者拥有可以通过诱骗受害者访问URL并使用Flash应用程序来获取数据的方式来窃取数据他们的自动登录已启用,根据Schaap的博客,大多数人都是这样做的。
“更具侵入性和隐藏性的漏洞利用可以将所有用户的个人照片,数据和消息收集到中央服务器,没有任何痕迹,并且没有任何理由为什么这个 Facebook和MySpace的数据都不会出现这种情况,“Schaap在他的博客中写道,”他还发现MySpace上的问题,它允许一个名为“farm.sproutbuilder.com”的域访问数据。 Flash应用程序可以上传到该网站,如果受害者访问了恶意网址,该应用程序将被允许访问该数据。
查看Facebook最新的crossdomain.xml文件,可以看出该错误似乎已得到解决。 “MySpace似乎也已将”farm.sproutbuilder.com“从其跨域列表中删除。”
