被Facebook拒绝支付赏金后,白帽子编写大规模攻击工具

被Facebook拒绝支付赏金后,白帽子编写大规模攻击工具

黑客平台访客2021-10-12 8:29:009051A+A-

  前两天,国外媒体报道了最流行的图像和视频分享服务Instagram手机应用的重大安全问题,攻击者可以劫持用户帐户,可以获得私人照片,删除受害者的照片,编辑评论,或者发布新照片。

  昨天,在伦敦开发者史蒂夫·格雷厄姆(Stevie Graham)发布了一款名为“Instasheep”的工具,这个名字来自2010年一款叫做“Firesheep”的Firefox拓展,它可以用来窃取Facebook等社交网站的账号信息,该插件能在用于对与攻击者同处一个网络下的会话劫持。

  格雷厄姆几年前发现了Instagram的问题,他吃惊地发现Facebook也没有修复该问题。他声称Facebook拒绝为这个影响iOS应用的漏洞向他支付赏金,而后他发布了该工具。

  格雷厄姆在其推特上说:“我被拒绝支付赏金。那么我的下一步是编写能够大规模劫持账号的自动化工具”他写道,“这是个相当严重的漏洞,请Facebook修复。”

  有报道称社交网络巨头Facebook已知晓有关Instagram iOS应用的问题,并正在努力修复,Facebook打算使用HTTPS协议,但仍不清楚要花多久修复漏洞。

  漏洞可能使iOS应用的用户受到中间人(MITM)攻击,因为Instagram会发送一些含有会话cookie的未加密数据。然后,攻击者可以在其他系统上/浏览器上利用这些截获的HTTP会话cookie劫持受害者的Instagram帐户。

  “我不认为这个漏洞的使用障碍很高。只需要足够水平的技术人员就能够利用,漏洞利用相当简单,甚至是脚本小子也可以使用。此刻潘多拉的盒子已经被炸得四分五裂!”格雷厄姆在YCombinator写道。

  Instagram联合创始人Mike Krieger(迈克·克里格)已经通过相同的YCombinator网站回应了这个问题,并表示,“我们一直在稳步增加对于HTTPS协议的支持,例如我们在2013年底推出的Instagram Direct,全部使用HTTPS进行会话。对于应用程序,尤其是对于延迟敏感的main feed功能和其它重要的浏览体验,我们正在积极努力推出了HTTPS,同时要确保不会损失性能,稳定性和用户体验。这是我们希望能够尽快完成的一个项目,我们将在开发博客上分享我们的经验,以便让其他公司借鉴一下。”

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 野欢羁拥2022-05-31 14:43:36
  • 间人(MITM)攻击,因为Instagram会发送一些含有会话cookie的未加密数据。然后,攻击者可以在其他系统上/浏览器上利用这些截获的HTTP会话cookie劫持受害者的Instagram帐户。  “我不认为这个漏洞的使用障碍很高。只需要足够水平的

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理