-
-
[转帖]应用安全专家发现Facebook漏洞 开发者可进入任何账号
-
发表于: 2013-2-24 01:53 1318
-
北京时间2月23日消息,据国外媒体报道,网络应用安全专家尼尔·戈登什拉格(Nir Goldshlager)日前发现了Facebook的一个系统漏洞。该漏洞能够让开发者通过应用权限进入任何一个Facebook帐号。
虽然Facebook最近已经对此漏洞进行了修复,但戈登什拉格表示,Facebook需要修复更多的应用授权漏洞。应用授权可以让开发者用来使用运营他们应用所需的用户数据。当用户安装了应用之后,应用开发者便获得了访问许可。
戈登什拉格在自己的博客中详细阐述了这一发现。他说,“我在Facebook当中发现了更多的OAuth漏洞,发布这一消息的目的是为了等待Facebook修复这些漏洞。”
截至目前,Facebook对戈登什拉格发现的其它漏洞一事未置可否,但表示原来被戈德什拉格发现的漏洞一直还没有被Facebook的开发者所利用。Facebook并未透露戈登什拉格何时报道了这一漏洞。
Facebook发言人在电子邮件中表示,“我们对发现这一问题并引起我们注意的安全人员表示感谢。我们与白帽团队进行合作,确保掌握整个漏洞情况。这将有利于我们修复这些漏洞,同时也为了证明这一漏洞并没有被大量的人士所探测到。基于发送给Facebook关于这一问题的报告,我们还没有发现有用户因此漏洞受到影响。我们已经向研究人员提供了奖金,感谢他们为Facebook的安全做出的贡献。”
来源:腾讯科技频道http://tech.qq.com/a/20130223/000048.htm
虽然Facebook最近已经对此漏洞进行了修复,但戈登什拉格表示,Facebook需要修复更多的应用授权漏洞。应用授权可以让开发者用来使用运营他们应用所需的用户数据。当用户安装了应用之后,应用开发者便获得了访问许可。
戈登什拉格在自己的博客中详细阐述了这一发现。他说,“我在Facebook当中发现了更多的OAuth漏洞,发布这一消息的目的是为了等待Facebook修复这些漏洞。”
截至目前,Facebook对戈登什拉格发现的其它漏洞一事未置可否,但表示原来被戈德什拉格发现的漏洞一直还没有被Facebook的开发者所利用。Facebook并未透露戈登什拉格何时报道了这一漏洞。
Facebook发言人在电子邮件中表示,“我们对发现这一问题并引起我们注意的安全人员表示感谢。我们与白帽团队进行合作,确保掌握整个漏洞情况。这将有利于我们修复这些漏洞,同时也为了证明这一漏洞并没有被大量的人士所探测到。基于发送给Facebook关于这一问题的报告,我们还没有发现有用户因此漏洞受到影响。我们已经向研究人员提供了奖金,感谢他们为Facebook的安全做出的贡献。”
来源:腾讯科技频道http://tech.qq.com/a/20130223/000048.htm
赞赏
他的文章
看原图
赞赏
雪币:
留言: