In che modo Facebook evita la scansione sul loro sito?

2

Ho usato Netsparker community edition e ho cercato di trovare una vulnerabilità nel mio sito personale. Poi ho pensato di provare con Facebook. Non ha mostrato una singola pagina web anche perché normalmente mostra i collegamenti all'interno del sito web, l'intera struttura del sito, ma qui non lo ha fatto.

Perché? Qual è la ragione?

    
posta Pointer 30.03.2012 - 07:19
fonte

3 risposte

9

Oltre alle impostazioni sulla privacy dell'utente, Facebook non inibisce gli spider. Le mie scansioni mostrano che non stanno nemmeno utilizzando un firewall di applicazioni Web per bloccare le richieste. Il carico di scrub ogni richiesta HTTP del sito più popolare sarebbe un'impresa enorme. Il problema è che lo scanner non è in grado di interagire con un client prevalentemente JavaScript che comunica con un backend REST. Netsparker non è in grado di rilevare XSS basato su DOM , che è più comune su facebook .

    
risposta data 30.03.2012 - 17:42
fonte
5

Se non hai effettuato l'accesso a Facebook, l'unica pagina che otterrai è la pagina di accesso / registrazione.

Probabilmente eseguono anche un IDS / IPS che rileva e blocca le scansioni di vulnerabilità. (Anche se ricordo vagamente qualcosa su Facebook che offre taglie per le vulnerabilità trovate nel loro sito web, tutto ciò che uno scanner gratuito potrebbe trovare sarà già stato trovato e risolto.)

La scansione indiscriminata della vulnerabilità di siti Web di terzi senza la loro autorizzazione non è una buona idea. È un po 'scortese e ha il potenziale per metterti nei guai. Il tipo 3 am-FBI-raid-and-20-years-in-prison .

    
risposta data 30.03.2012 - 09:54
fonte
3

Ho discusso con i precedenti sviluppatori di piombo del portale di Facebook proprio questo soggetto, e in effetti bloccano la scansione dei loro domini e applicazioni, ma di solito è caso per caso.

Spesso, i captcha e altri meccanismi di rallentamento vengono impiegati per impedire a bot, scrapers e crawler di sottrarre il loro contenuto. Spesso questo è più difficile a causa del tuo IP sorgente, specialmente se si tratta di un noto proxy chiuso / aperto, un nodo Tor, sulla lista nera FATF o altre caratteristiche distintive rilevanti per le loro operazioni.

È davvero meglio non scherzare con Facebook o siti di grandi dimensioni simili senza permesso perché molti curiosi in passato sono stati schiaffeggiati con denunce molto brutte e / o ondate di giustizia penale.

    
risposta data 02.04.2012 - 03:13
fonte