facebook like xss

április 13 2011 Kategorizálva: blog hack, egyéb Nincs hozzászólás

Elég gáz dologról olvastam egyik nap. Pedig előtte még csak nem is gondoltam hogy ilyen lehetséges. A dolog a Facebook like gombját érinti.

Mégpedig ha megnézzük a like gomb forrását szembeötlő a dolog egy kis fantáziával:

  <iframe src="http://www.facebook.com/plugins/like.php?
      href=http%253A%252F%252Fblogtippek.info/
      &amp;layout=standard
      &amp;show_faces=false
      &amp;width=450
      &amp;action=like
      &amp;font
      &amp;colorscheme=light
      &amp;height=35"
    scrolling="no" frameborder="0"
    style="border:none; overflow:hidden; width:350px; height:22px;"
    allowTransparency="true">
  </iframe>

Ahogy látjuk a href mezővel vannak itt igazán a gondok. Teljes pontos leírásba most nem mennékbele, a következő oldalak kivesézik a dolgot tetőtől talpig, és megtudhatjuk belőlük hogy mit és hogyan “ne” csináljunk.

Acunetix Facebook xss

valamint egy két kritikus példa:

XSSed

Könyvjelzőbe teszem: