Facebook, Lampiran File EXE Mengalami Cacat Keamanan di FB



Seorang Peneliti Keamanan dari securitypentest menemukan kerentanan baru dalam fitur upload file Facebook yang mengarah ke file EXE upload. Untuk mengirim pesan, bahkan Anda tidak perlu menjadi teman.


Menurut Peneliti Keamanan Pentest :
Bila menggunakan tab 'Pesan' Facebook, ada fitur untuk melampirkan file. Menggunakan fitur ini normal, situs tidak akan memungkinkan pengguna untuk melampirkan file executable. Sebuah bug ditemukan untuk menumbangkan ini mekanisme keamanan. Catatan, Anda TIDAK harus berteman dengan pengguna untuk mengirim pesan dengan lampiran.
Ketika melampirkan file executable, Facebook akan mengembalikan pesan kesalahan yang menyatakan:
"Meng-upload Kesalahan: Anda tidak dapat melampirkan file jenis itu."


Ketika meng-upload lampiran file ke Facebook kita melihat web browser mengirim permintaan POST ke web server. Di dalam permintaan POST terlihat:
Content-Disposition: form-data; nama = "lampiran"; filename = "cmd.exe"
Hal ini ditemukan 'nama file' variabel sedang diurai untuk menentukan apakah jenis file yang diperbolehkan atau tidak. . Untuk menumbangkan mekanisme keamanan dan untuk mengizinkan tipe file exe, kami memodifikasi permintaan POST dengan menambahkan ruang untuk variabel nama file kita seperti:
filename = "cmd.exe"

Ini sudah cukup untuk mengelabui dan memungkinkan file eksekusi kita harus terpasang dan dikirim dalam pesan.

Intinya , keamanan facebook masih bisa retas...
Mengenai tutorial nya akan kami berikan dilain waktu 

Post a Comment