[Facebook] OWASP 2013 A10 0day by MAYASEVEN

ปล่อยอีกหนึ่งผลงานช่องโหว่ของ facebook โดยทีม MAYASEVEN ครับ ช่องโหว่นี้ ตอนนี้ยังเป็น 0day นะครับคือ facebook ไม่แก้ไข
และ facebook ก็ไม่จ่ายเงินเหมือนเดิมครับ 555+ ถึงแม้จะเป็นหนึ่งในความเสี่ยงสูงสุด 10 อันดับแรกของ OWASP top 10 2013

สำหรับบทความนี้ผมขอปล่อยเป็นคลิปอธิบายแล้วกันครับ โดยผมตัดคลิปมาจากคลิปที่ใช้สอนในคอร์ส แหกเว็บ Web Application Hacking and Ethical Hacker (Online) ถ้าในคลิปไม่ราบรื่นต้องขออภัยล่วงหน้าครับ ในช่วงนี้เวลาเราคลิก link อะไรใน facebook หรือใครส่ง link อะไรที่เป็นโดเมน facebook ก็ให้ระวังว่ามันอาจจะไม่ใช่เว็บจาก facebook ครับ

สำหรับคนที่งงว่าช่องโหว่นี้จะเอาไปทำอะไรได้ ? เอาที่ทันสมัยหน่อยก็
1. สำหรับหน่วยงานรัฐเอาไว้หาตัว admin page สาย dark ได้ครับ โดยส่ง link ที่เป็น facebook domain ไปที่ page แล้วก็หลอกว่าลองดูโพสนี้, รูปนี้ใน facebook บลาๆ หลอกล่อให้เขาเปิด link พอ admin เห็นมันเป็น domain ของ facebook.com ก็เปิดจากนั้นก็บูมมม redirect ไปเว็บที่รัฐ control ได้และเก็บ IP จอบอ
2. เคสคลาสสิคก็สร้างหน้า login เหมือน facebook.com แลวก็ส่ง link ไปให้เหยื่อบอกให้ลองดู โพสนี้, รูปนี้ใน facebook บลาๆ พอเหยื่อเปิด link เจอหน้า login ก็คิดว่า session หมดอายุกรอก user, password ใหม่ก็เรียบร้อย เพราะ domain มัน redirect จาก facebook.com ไปเว็บ hacker แล้ว ลองคิดย้อนกลับไปที่ผ่านมาเวลาเราเปิด link จาก facebook แล้วมันขึ้นให้ login ใหม่ เราได้เงยหน้าขึ้นไปดูไหมว่า domain มันใช่ facebook หรือเปล่า ซึ่งส่วนใหญ่ไม่ได้ดูหรอกครับเห็นหน้าตาเหมือนเว็บ facebook.com ก็กรอก user, password ให้โจรไปเรียบร้อย

วิธีป้องกันตอนนี้ก็คงต้องรอ facebook แก้ไข ถ้าเขาไม่แก้ก็ต้องมี awareness ว่าเวลาจะใส่ username, password เว็บ facebook ก็เงยหน้าขึ้นมาดูก่อนว่า domain มันใช่ของ facebook หรือเปล่าครับ ดูคลิปรายละเอียดการโจมตีด้านล่างได้เลยครับ

Previous Post
[Facebook] cheat boost premiere video post by MAYASEVEN
Next Post
[CVE-2019-11013] Directory Traversal in Nimble Streamer version 3.0.2-2 to 3.5.4-9

Related Posts

No results found

Leave a Reply

Your email address will not be published. Required fields are marked *

Fill out this field
Fill out this field
Please enter a valid email address.
You need to agree with the terms to proceed

Menu