【皇冠比分】 - 十三年体育站品牌,口碑好、你值得信赖!
球星比分网
当前位置: 皇冠比分007 > 今日赛事 > > 正文

IT安全公司要求黑客窃取您的Facebook登录信息

时间:2019-03-27 18:21来源:www.007bfb.com 作者:皇冠比分007 点击:
一家IT安全公司呼吁黑帽黑客使用Facebook登录进入网站上的用户帐户。在该网站未能修复一年前Sakurity通知的漏洞之后

一家IT安全公司呼吁黑帽黑客使用Facebook登录进入网站上的用户帐户。在该网站未能修复一年前Sakurity通知的漏洞之后,Sakurity对网络罪犯的吸引力源于对社交网络的挫败感。渗透测试公司现已发布Reconnect,,这是一个让黑客以Booking.com,Bit.ly,Mashable.com和Vimeo等网站为目标的工具。

IT安全公司要求黑客窃取您的Facebook登录信息

创始人Egor Homakov写道:“Facebook在一年前拒绝解决这个问题,不幸的是,现在是时候将它提升到一个新的水平,并为这个简单的工具提供黑帽子。”

甚至还有一个易于遵循的指南来帮助网络犯罪分子使用该工具,告诉黑客如何违反这些网站的安全协议,可能是为了鼓励Facebook更快地解决问题。

重新连接的工作原理是将用户登录到网络犯罪分子的Facebook帐户,并将用户的帐户链接到黑客的帐户,让后者控制用户。

犯罪分子可以首先将Facebook注销命令URL粘贴到Web浏览器中,然后创建一个Canvas应用程序,用于将受害者登录到自己的帐户中。

Canvas应用程序是在Facebook中加载的网页(即当您点击链接时它会将您带到所需的外部页面,但您仍然可以看到Facebook围绕内容的蓝色边框)。

此Canvas应用程序将尝试将用户登录到用户的帐户,但Sakurity显示如何重定向该用户以将用户登录到黑客的帐户。

一旦完成,黑客可以直接访问用户的帐户详细信息,并可以“​​更改电子邮件/密码,取消预订,阅读私人消息等”。

Tripwire的安全研究员Ken Westin对该工具进行了测试,称其为真正的交易。

“我测试了它,看起来很合理,”他说。“这真是一个网络钓鱼者的梦想,我相信我们会看到很多Facebook帐户受此影响。”

但他警告说,当用户依赖Firefox网络浏览器时,威胁甚至更严重。

“如果用户登录Facebook并使用它登录Mashable或其他服务等网站,然后点击使用此漏洞创建的链接,攻击者可以将该帐户与他们的Facebook帐户相关联,”他解释说。 。

“然后,攻击者可以使用被盗的Facebook凭据登录受害者的Mashable帐户。用户仍然必须点击一个链接才能实现这一点,而且据我所知,还需要登录Facebook。“

虽然Sakurity创始人Homakov声称Facebook一年前拒绝解决这个问题,但IT专业人员明白情况并非如此。

此外,社交网络正在探索使用自动化工具来嗅出和阻止这些黑客攻击,并已联系数百名开发人员,建议他们根据OAuth 2.0协议更改为Facebook的登录身份验证措施,这将阻止这种情况发生。问题。

Facebook发言人告诉IT专业人士:“这是一个众所周知的行为。使用Login的网站开发人员可以通过遵循我们的最佳做法并使用我们为OAuth Login提供的“州”参数来防止此问题。

“我们还实施了一些更改,以帮助防止登录跨站点请求伪造,并正在评估其他人,同时旨在为依赖Facebook登录的大量站点保留必要的功能。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。

  本篇内容由皇冠比分网友收集整理,转载请注明原出处,如需删除请联系我们。

(责任编辑:皇冠比分)

相关篮球新闻推荐