Hoy os presentamos una otra falla en facebook que fue Cross Site Scripting Stored en el (chat, registro y mensajero). El investigador de seguridad con twitter manejar “@Nirgoldshlager” rompio la seguridad de Facebook y hizo que el POC en línea con un video. El primero que encontró fue en el facebook chat. en donde hacer una nueva conversación dentro de facebook, no enlace se envía como un archivo adjunto para el cambio la solicitud en algo dañino que el atacante fue capaz de obtener la carga útil para trabajar <a href=”javascript:alert(6)”> PoC clic Me </ a> cada vez que el mensaje se haga clic en el xss se ejecuta.
facebook-chat-xss
El segundo error fue en el check-in página donde el xss se ejecuta siempre que el atacante tiene entre este atacante tiene que crear un nuevo lugar (https://www.facebook.com/pages/create/) y ejecutar el vector allí
<img src=”a.jpg”onerror=javascript:alert(6)>
La tercera fue en el mensajero faceboook (windows) esto se puede hacer cuando se configura un nombre malicioso de la carga útil en el envío del mensaje cada vez que el usuario hace clic se ejecuta el xss del enlace.
Ya Facebook Soluciono estos problemas de seguridad. asi que no hay ningun riesgo para los usuarios.
Acerca de Mi Dylan Irzi
Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com
One thought on “XSS Stored En Facebook Chat,Check-In,Messenger.”