Vulnerabilidad en Facebook permite adjuntar archivos EXE
Cuando se utiliza la pestaña “Mensajes” de Facebook, hay una función para adjuntar un archivo. Al utilizar esta función normalmente, Facebook no permite adjuntar un archivo ejecutable. Nathan Power de securitypendest.com descubrió error que permite saltear este mecanismo de seguridad, en donde además no es necesario tener que ser amigo del usuario para enviar el mensaje con el archivo adjunto.
Al cargar el archivo adjunto en Facebook capturamos a la solicitud POST que se envía al servidor web. Dentro de esta petición POST se lee la siguiente línea:
Content-Disposition: form-data; name = “archivo adjunto”, filename = “cmd.exe”
En donde la variable ‘filename’ contiene el nombre del archivo que se permitiría enviar o no.
Para saltear el mecanismo de seguridad y permitir subir el archivo EXE, se puede modificar la petición POST añadiendo un espacio al nombre del archivo:
filename=”cmd.exe ”
Resultando que el archivo es adjuntado y enviado en el mensaje:
Esta vulnerabilidad fue reportada a Facebook el 30/09
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.