Hacker 14 tuổi phát hiện lỗ hổng XSS trên Instagram, được Facebook thưởng 25.000 USD

Facebook cung cấp cho người dùng một ứng dụng có tên Spark AR Studio để tạo ra các hiệu ứng thực tại ảo (AR) cho ảnh và video trên Instagram. Tuy nhiên, một hacker 14 tuổi vừa phát hiện ra một lỗ hổng XSS nghiêm trọng của Spark AR Studio. Facebook xác nhận sự tồn tại của lỗ hổng này và ngay lập tức thưởng cho hacker trẻ tuổi người Brazil có tên Andres Alonso này 25.000 USD.

Cross-site scripting (XSS) là một kiểu tấn công bảo mật trong đó kẻ tấn công đưa các tập lệnh độc hại vào phần nội dung của các trang web đáng tin cậy khác. Tấn công Cross-site scripting xảy ra khi một nguồn không đáng tin cậy được phép đưa code của chính nó vào một ứng dụng web và mã độc đó được bao gồm trong nội dung gửi đến trình duyệt của nạn nhân.

Alonso không chủ ý đi tìm lỗ hổng trên Instagram. Trên bài viết chia sẻ qua Medium, Alonso kể rằng hôm đó cậu đang chế tạo các bộ lọc Instagram cho ứng dụng của riêng mình. Để làm điều này, Alonso cần tìm hiểu cách Spark AR tạo ra các liên kết bộ lọc để kiểm thử bộ lọc trên smartphone.

Hacker 14 tuổi phát hiện lỗ hổng XSS trên Instagram, được Facebook thưởng 25.000 USD
Hacker 14 tuổi phát hiện lỗ hổng XSS trên Instagram, được Facebook thưởng 25.000 USD

Nhưng khi Alonso thay đổi tên của tập tin xem trước (preview.arexport) thông báo kiểm thử bộ lọc cũng thay đổi. Điều này thúc đẩy Alonso thử XSS với một tập tin bộ lọc chứa mã độc nhưng không thành công vì thẻ meta rất hạn chế. Vì thế, Alonso chỉ có thể đóng mã khai thác bằng hai dấu ngoặc kép.

Không chịu dừng lại, Alonso thay đổi chiến thuật. Cậu thử cố tạo chuyển hướng mở bằng cách sử dụng mã hóa HTML để vượt qua bộ lọc (http://www.evilzone.com) sau đó tiêm nhiễm vào đoạn mã: 0;url=http://www.evilzone.com"HTTP-EQUIV="refresh"any=".arexport.

Cách thức này thành công và chuyển hướng người dùng tới một tên miền bên ngoài có thể chứa mã độc. Điều này chứng minh rằng cách khai thác chuyển hướng mở có tác dụng.

Trong thông báo về phần thưởng dành cho Alonso, Facebook viết: "Mặc dù báo cáo ban đầu của bạn là về lỗ hổng chuyển hướng mở nhưng quá trình điều tra sâu hơn của chúng tôi nhận thấy rằng nó có thể được dùng để triển khai các cuộc tấn công XSS".

Phía Facebook cũng xác nhận rằng lỗ hổng này chưa từng bị kẻ xấu khai thác.

Bên cạnh lỗ hổng của Facebook, Alonso đã từng phát hiện ra một lỗ hổng khác của BMW Group.

Thứ Ba, 22/09/2020 14:58
51 👨 799
0 Bình luận
Sắp xếp theo