Un investigador de seguridad Frans Rosén ha descubierto la vulnerabilidad de secuencias de comandos entre sitios en Facebook y Dropbox.

XSS En Facebook

XSS En Facebook

Inicialmente, el investigador está trabajando en la búsqueda de fallos de seguridad en Dropbox. Se dio cuenta de que al utilizar la interfaz web hay algunas restricciones sobre lo que los nombres de archivo que se les permitió. Trató de cambiar el nombre del archivo con “”> <img src=x onerror=alert(document.domain)>. Txt Pero llegó un mensaje de error que algunos caracteres especiales no están permitidos.

“Pero, si en cambio, conectó un directorio local, creó un archivo de allí y se sincronizan, lo tienes dentro de Dropbox sin ningún problema.” El investigador explicó en su blog. “Usando este método pude encontrar dos temas con sus mensajes de notificación que muestran nombres de archivo sin escape.”

Notificó DropBox acerca de la vulnerabilidad y han parcheado con éxito la falla.

Después de un tiempo, se dio cuenta de que hay una conexión entre DropBox y Facebook. Puede añadir archivos directamente desde DropBox a los grupos de Facebook. Así que tenía curiosidad por probar la vulnerabilidad en Facebook también.

En su grupo de Facebook, trató de agregar el archivo previamente cargado en el DropBox. Después de que él ha escrito en el grupo, el ataque XSS no funcionó. Pero cuando se hace clic en el “Compartir” enlace en el correo, que recibió el mensaje de alerta. Sí, con éxito, se las arregló para ejecutar la secuencia de comandos en Facebook. Los XSS también trabajó cuando compartió el pin elaborado a partir de la Pinterest.

El investigador tiene $ 3.500 USD generosidad error de notificar a la vulnerabilidad, la vulnerabilidad facebook fijado ahora.

Acerca de Mi Dylan Irzi

Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com

Noticias Seguridad