วันนี้เป็นช่องโหว่ delete friend ขอบอกเลยว่า ณ เวลาที่ผมเขียนอยู่นี้ ช่องโหว่ยังไม่ถูกปิด ยังสามารถใช้งานได้
ช่องโหว่นี้ถูกพบโดย Steven Abbagnaro เมื่อวันพุธที่ผ่านมา เค้าใช้หลักการเดียวกับช่องโหว่ CSRF ที่ผมเขียนไว้ก่อนหน้านี้ สำหรับรายละเอียดการโจมตียังไม่มีการเปิดเผย เนื่องจากช่องโหว่ยังไม่ถูกปิดนะครับ วิธีการโจมตีนั้น hacker จะส่ง link ให้เหยื่อ เมื่อเหยื่อกด link ปุ๊บ รู้ตัวอีกทีเพื่อนก็หายเกลี้ยงละครับ เพราะฉะนั้น ยังไงก็ระวังเรื่องการกด link กันหน่อย hacker บางคนอาจจะใช้ช่องโหว่นี้ร่วมกับ spam หรือ worm ที่แพร่ระบาดบน facebook อย่างรวดเร็ว ใครเผลอกดก็เตรียม add friend ใหม่หมดได้เลยครับ (เศร้าแน่ 55)
ผมมี video สาธิตการโจมตีมาให้ดูครับ
**Hidden Content: To see this hidden content your post count must be 15 or greater.**
Reply With Quote
