【51CTO.com 獨(dú)家特稿】近期，F(xiàn)acebook驚現(xiàn)高危XSS安全漏洞，致使其用戶遭受巨大威脅。本文將對(duì)這些漏洞發(fā)布進(jìn)行詳細(xì)介紹。
Facebook在2008年12月15日與2009年1月4日被曝出一系列高危XSS安全漏洞，F(xiàn)acebook眾多的功能同時(shí)遭受牽連，如新用戶注冊(cè)、iPhone登錄、密碼重新設(shè)定，等等。

攻擊者能夠利用這些XSS漏洞攻擊數(shù)以百萬計(jì)的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。拜這些高?？缯军c(diǎn)腳本攻擊漏洞所賜，F(xiàn)acebook用戶可能受到釣魚攻擊并導(dǎo)致ID失竊。截至本月5號(hào)為止，這些漏洞尚未得到修復(fù)，這些高危漏洞已經(jīng)對(duì)用戶的隱私構(gòu)成了高度的威脅。

安全研究人員最近發(fā)現(xiàn)的有XSS漏洞的頁面包括，開發(fā)人員頁面、新用戶注冊(cè)頁面、iphone登錄頁面以及應(yīng)用程序頁面。攻擊者能夠利用這些XSS漏洞攻擊數(shù)以百萬計(jì)的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。對(duì)于用戶來說，為了遠(yuǎn)離這些威脅的攻擊最好不要接受不認(rèn)識(shí)的人員加為好友的請(qǐng)求，千萬不要點(diǎn)擊不明來源的鏈接。

原因是Facebook的個(gè)人概況中包含了許多個(gè)人信息，“好友”通過則這些信息足以發(fā)動(dòng)有針對(duì)性的釣魚攻擊，或者向您發(fā)送有針對(duì)性的垃圾郵件。但是如果您點(diǎn)擊了一個(gè)共享鏈接結(jié)果會(huì)怎樣呢？很明顯，對(duì)他們來說，您就不會(huì)有什么隱私了?。?！為了安全和隱私起見，一定要注意您在社交網(wǎng)絡(luò)上的個(gè)人簡(jiǎn)介。

下面我們對(duì)這些最新漏洞分析進(jìn)行介紹：

1號(hào)XSS漏洞：

所在位置：http://www.new.facebook.com/r.php
問題頁面的鏡像： 圖1

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. XSS攻擊升溫，Web業(yè)務(wù)安全面臨更大挑戰(zhàn)
2. XSS攻擊防御技術(shù)白皮書
3. 長(zhǎng)URL背后的殺機(jī)網(wǎng)站防范XSS攻擊實(shí)錄