Yeniden bağlayın saldırganlarının Facebook login güvenerek sitelerinde hesaplarını kaçırmak şansı veren bir araçtır. aracı nedeniyle uyumluluğu ile ilgili olası problemlere Facebook Login bir çapraz site isteği hatayı düzeltmek için Facebook'un reddetmesine tepki olarak güvenlik araştırmacısı Egor Homakov tarafından geliştirilmiştir.
Aracın geliştirici giriş bilgilerini kullanarak Facebook bağlandığında her web sitesi kimlik avı tehditlere maruz onun blog yazdı. İkinci bir saldırgan bulur 302 Başka bir alana yönlendirme, Söz konusu hesabın ele edilebilir.
Homakov Facebook ekibi ile yaptığı iletişim ifşa. Onun endişeleri tarafından kabul, ekip bu konuda haberdar olduklarını yazdı ama sistematik bir çözüm yoktu. Ekip ayrıca sorunun ölçeği tartışılabilir olduğunu belirtmiş.
Diğer yandan, Homakov rağmen Facebook'un iş yaklaşımı anlaşılabilir olduğunu vurgulamaktadır, bir güvenlik ve uyumluluk arasında tereddüt asla.
Yeniden Ne Yapar?
aracı CSRF'e eksikliği patlatır (Xsrf) Üç süreçleri içermektedir koruması - Facebook giriş, çıkış yapıp üçüncü taraf hesap bağlantıları. Facebook ilk ikisini çözme yeteneğine sahiptir, ancak bunu çünkü yukarıda belirtilen nedenle yapmayacağım. üçüncü sorun, ancak, Facebook işlevselliği ile Giriş entegre etmek seçti web siteleri sahipleri tarafından çözülmesi gerektiğini.
Yeniden bağlayın zararlı URL'ler üretir. Bir kullanıcı bunları tıklayarak içine sokulmuş bir kez, onlar kendi profilinde çıkış yapmış ve saldırgan tarafından oluşturulmuş bir sahtekar hesabına kaydedilir. Bu kullanıcı üçüncü taraf web sitesinde ilgili topladığı özel verilerle müdahale etmesine olanak sağlar.
Facebook'un Bildirimi
Bunun yerine konuyu sabitleme, Facebook'tan CSRF giriş önlemek için birkaç değişiklik gerçekleştirerek korsanı için işleri zorlaştırmak için karar. Dev ayrıca her durumda Girişi İletişim Kutularını nasıl entegre edeceğiniz açıklanmaktadır geliştiriciler için bir rehber yayınladı.
Homakov en Sonuç
Homakov eylemleri bazılarına abartılı görünse, Geliştirici başarıyla tehdit istismar potansiyeli dikkat çekti. işletmeler ve kullanıcılara yönelik tavsiyesi Facebook tarafından sağlanan giriş kullanmıyor. Onun sözleriyle, şifreler çok daha iyi bir seçimdir.