安全渗透测试仪在Facebook发现了一个重大缺陷,可以让一个人发送任何人对社交网站的恶意应用程序。
高级安全技术顾问Nathan Power的渗透测试,发现了这个漏洞,周四在他的博客公开披露。Facebook通常不会让一个人使用“消息”选项卡发送可执行文件附件。如果您尝试这样做,它返回消息“错误上传:您不能将这种类型的文件。”
浏览器的“邮报”发送到Facebook的服务器要求的分析表明,一个名为“文件名”的变量分析看到,如果一个文件应允许。但只是通过修改后的文件名用空格POST请求,可执行文件可以附加到邮件。
他写道:“这是欺骗解析器,并允许连接我们的可执行文件,并在发送的邮件,”没有一个人会被批准发件人的朋友,Facebook允许人给那些不是他们的朋友的消息。危险的是,黑客可以利用社会工程技术,哄有人推出的附件,这有可能感染恶意软件的计算机。
Facebook的代表在伦敦上周四下午立即作出反应。