ช่องโหว่ facebook แอบดูข้อมูลทั้งหมดของเหยื่อ !!!

[Gen0TypE]

M.J. Keith – Senior Security Analyst of Alert Logic ได้ค้นพบช่องโหว่บน facebook ซึ่งทำให้ผู้ไม่หวังดีสามารถดูข้อมูลทั้งหมดของเหยื่อได้ รวมไปถึงสามารถเปลี่ยนแปลงข้อมูลต่างๆ เช่น privacy setting ได้อีกด้วย อย่างไรก็ตาม Keith ได้ประสานงานกับทาง facebook เพื่อปิดช่องโหว่นี้เรียบร้อยแล้วครับ

ช่องโหว่นี้ทำให้ผู้ไม่หวังดีใช้เทคนิค CSRF ในการโจมตีเหยื่อ ซึ่งเกิดจากการใช้งานตัวแปร post_form_id แบบไม่ระมัดระวัง สำหรับข้อมูลทางเทคนิคเชิงลึกผมยังไม่ทราบนะครับ เนื่องจาก Keith ยังไม่ได้เปิดเผยอะไรมาก

สำหรับใครที่ต้องการดู proof of concept โหลดได้จาก

**Hidden Content: To see this hidden content your post count must be 15 or greater.**

[slipper]

ขอบคุณคับ แหล่มเลยๆ

[Nicky007]

อืมม แม้แต่ เฟซบุ๊ค เว็บไซต์ระดับโลก ยังมีจุดอ่อน

ยังมีอีกหลายสิ่งบนโลกไซเบอร์ที่เรายังไม่รู้ สู้ต่อไป ทาเคชิ