Funzionerà? Identità rivelatrice (facebook) della persona che fa clic sul link appositamente predisposto

3

C'è uno speciale link di Facebook che reindirizzerà chiunque lo faccia clic sul proprio profilo Facebook al quale è attualmente connesso sul proprio browser. Il link va in questo modo: link (il collegamento è innocuo a proposito, puoi Google se sei incerti)

Avevo il sospetto che questo potesse essere usato per rivelare l'identità di una persona semplicemente inviando loro un link appositamente predisposto. Non sono un programmatore, ma questo è quello che pensavo:

  1. Crea un sito web che colleghi alla persona che desideri rivelare l'identità di
  2. Il sito Web contiene qualche intelligente reindirizzamento o script di analisi che risucchia i dati da questo speciale link di Facebook, e poi li rimanda al server (attaccante).

È tecnicamente possibile?

    
posta nctrnl 10.10.2012 - 21:55
fonte

3 risposte

2

La risposta breve è no , questo non funzionerà nel modo in cui lo intendi.

Per capire perché, devi prima capire come Facebook ti porta al profilo corretto. Nel browser del cliente ci sono i cookie che Facebook utilizza per riconoscere il proprio account. Quindi, quando il cliente visita il link, Facebook legge i cookie sul browser del cliente e li porta alla pagina del profilo corretta.

Fortunatamente per noi, i cookie sono disponibili solo per il dominio di emissione. Ciò significa che quando l'utente visita la tua ipotetica pagina di phishing, la pagina dannosa non sarebbe in grado di leggere il tuo cookie di Facebook.

    
risposta data 10.10.2012 - 22:37
fonte
5

Contrariamente alle altre risposte, in realtà SÌ è possibile. Tuttavia non è in realtà così semplice, e non esattamente come lo metti tu.

  1. Invece di indirizzare la vittima a un profilo, puoi inviarlo alla tua app di Facebook . Ovviamente, questa app deve essere registrata come app di Facebook valida, ecc.
  2. Nell'URL della tua app, puoi inviare determinati parametri, ad esempio, l'id di sessione corrente dell'utente sul tuo sito web.
  3. Si noti che questo URL è indirizzato a Facebook , quindi verrà inviato il proprio cookie FB, poiché si tratta dei server di FB; inoltrano quindi la richiesta alla tua app.
  4. La tua app di Facebook dovrebbe essere ospitata sul tuo server, e questo dovrebbe avere una qualche forma di comunicazione con il tuo sito web vittima, permettendo una ricerca tra l'identità di Facebook e l'id di sessione.
  5. Quindi, hai appena usato Facebook come provider di identità involontario.
  6. Utilizzando alcune tecniche aggiuntive, come CSRF , puoi inviare l'utente direttamente e automaticamente, semplicemente essendo sul tuo sito.
  7. Nota, tuttavia, che in realtà non è così semplice come una volta, ed è qui che entrerà in gioco l'ingegneria sociale: Facebook ora richiede l'approvazione esplicita dell'utente prima di consentire a un'app l'accesso ai tuoi dettagli.
  8. D'altra parte (e ammetto di non essere aggiornato su questo - è difficile tenere il passo con la coerenza di Facebook) - ci sono alcuni dettagli che un'app può ricevere prima anche chiedendo tu per installarlo. (Non inserirò qui tutti i dettagli tecnici, penso che sia irrilevante a questo punto, e probabilmente sarebbe fuori tema.)

Puoi trovare ulteriori dettagli approfonditi, compresi tutti i dettagli tecnici, su questo post del blog di alcuni anni fa; come ho detto, alcuni potrebbero non essere aggiornati.
(Divulgazione: ho assistito in alcune di queste ricerche).

    
risposta data 11.10.2012 - 17:06
fonte
1

No, questo non è possibile. In caso contrario, il link rivelerà anche la tua identità: apre una pagina con il tuo nome su di essa e tutto dal tuo stream.

Quello che stai pensando può essere fatto con un attacco di scripting cross-site. Ciò inietterebbe uno script nella pagina, che può fare tutto ciò che vuole con il sito web. Può inviare informazioni raccolte all'autore dell'attacco, inviare messaggi per te, ecc.

Attualmente non è noto che Facebook sia vulnerabile per lo scripting cross-site. È molto facile correggere questa vulnerabilità, quindi se tale violazione è stata rilevata, sarebbe andata via entro un'ora o due dopo la scoperta (l'aggiornamento dell'aggiornamento dal vivo richiede un po 'di tempo). Nel frattempo potrebbero portare giù quella parte del sito web.

Per riferimento, un esempio di URL di attacco potrebbe essere: https://example.com/search?q="><script src="attack.js"></script> Per oscurare questo, un utente malintenzionato probabilmente lo codificherà:

https://example.com/search?q=%22%3e%3c%73%63%72%69%70%74%20%73%72%63%3d%22%61%74%74%61%63%6b%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e

L'unico modo in cui questo attacco può essere eseguito senza che Facebook sia vulnerabile è quando la pagina viene caricata su HTTP (non su HTTPS) e un utente malintenzionato può controllare la connessione (come su una rete WiFi pubblica) o quando si sta usando un vecchio browser come Internet Explorer 6. O cose correlate come Flash Player è molto vecchio, o hai un virus ... Ma questi sono tutti fattori esterni e non una vulnerabilità nel modo in cui hai descritto (trovare un'identità da uno speciale url o pagina).

    
risposta data 10.10.2012 - 22:35
fonte

Leggi altre domande sui tag