Todos os posts tagados xssed

‘Clickjacking’ no Facebook aproveita-se de falhas web no CNET

Os scammers estão sempre a inovar e a tentar dar a volta aos sistemas para, de certa forma, conseguirem atingir o seu objectivo – causar o maior dano possível e imaginário.

No Facebook utilizam o clickjacking das mais diversas maneiras, entre estas:

  • Identificações em álbuns;
  • Endereços do género caracteres_aleatorios.blogspot.com;
  • Temas/fotos chamativos e falsos…

Em todos estes pontos, havia sempre algo que chamava sempre atenção… um endereço potencialmente perigoso…

Hoje encontrei um link de um amigo, no meu feed de noticias, com a referência a um artigo no CNET. Desconfiei de imediato, muito por causa do titulo da noticia e pela miniatura/thumbnail.
Ao passar com o rato sobre o link, reparei  que afinal tudo não passava de um link malicioso que se esconde , numa partilha do Facebook, aproveitando uma falha web, mais propriamente uma falha de redireccionamento (XSS redirect).


Com uma simples pesquisa no xssed, reparei que esta falha já foi publicada e está por corrigir desde 19/03/2008 !!?

Uma breve análise ao link malicioso, utilizando o ScanPW, reparei que a página tem um sistema de geo-localização para utilizadores oriundos da China e, se o utilizador clicar no vídeo, este propaga-se pelo mural e mostra na página maliciosa alguns questionários (típicos neste género de esquema).

Se foi vítima desta situação, consulta este artigo.

Falha XSS na loja Amazon

Foi reportado hoje no site XSSed,  que a famosa loja Amazon está vulnerável a uma falha XSS.

Nas próximas horas, esta falha será corrigida.