1. Ban quản trị diễn diễn ra mục tiêu vì một diễn đàn sạch để hướng tới một mội trường internet sạch, chúng tôi nghiêm cấm tất cả mọi hành vi SPAM trên diễn đàn: post bài không đúng chuyên mục, comment bừa bãi và đăng tải nội dung vi phạm pháp luật. Chúng tôi sẽ không thông báo mà xóa tất cả các bài viết liên quan đồng thời Ban nick vĩnh viễn.
    Dismiss Notice

Facebook vá lỗi một lỗ hổng thực thi mã từ xa được

Thảo luận trong 'Facebook Marketing' bắt đầu bởi mansamusa, 6 Tháng chín 2018.

  1. mansamusa

    mansamusa New Member

    Facebook gần đây đã tiết lộ một lỗ hổng bảo mật nghiêm trọng trong các máy chủ của công ty cho phép thực thi mã từ xa. Nhà nghiên cứu bảo mật Daniel Blaklis Le Gall từ an ninh thông tin SCRT đã được trao giải thưởng $ 5000 để phát hiện lỗi này. Các nhà nghiên cứu cho biết, lỗi này được phát hiện trên một trong các máy chủ của Facebook.

    Nhà nghiên cứu đã tìm ra vấn đề như thế nào?

    Khi các nhà nghiên cứu đã quét phạm vi IP của các máy chủ của Facebook, ông đã gặp một dịch vụ Sentry được viết bằng Python và Django trông dễ bị tổn thương.

    "Ứng dụng dường như không ổn định về tính năng đặt lại mật khẩu người dùng", nhà nghiên cứu cho biết. “Chế độ gỡ lỗi Django không bị tắt, do đó sẽ in toàn bộ môi trường khi một dấu vết ngăn xếp xảy ra. Tuy nhiên, Django thu thập dữ liệu quan trọng (mật khẩu, bí mật, khóa ...).

    Khi nhà nghiên cứu bảo mật đào sâu hơn về vấn đề này, anh ta cũng tìm thấy một giao thức nhị phân được sử dụng để unserialize Python Object Structures. Mặc dù khóa bí mật không có sẵn trong theo dõi Stack. Blaklis đã nhận được chìa khóa bằng cách sử dụng danh sách Sentry.

    Lỗ hổng ở đâu ??

    Theo ứng dụng, khóa được sử dụng để ký phiên và nếu bị xâm nhập, nó có thể được sử dụng để phiên của người dùng. Các nhà nghiên cứu đã có thể tạo ra một kịch bản mà giả mạo cookie độc hại với nội dung Pickle tùy ý mà cũng bao gồm một trọng tải để ghi đè lên cookie Sentry.

    Nhà nghiên cứu bảo mật vừa thực hiện một sự chậm trễ 30 giây thay vì gây hại cho ứng dụng, nỗ lực đã được chứng minh là một thành công khiến máy chủ dễ bị tấn công và dữ liệu của người dùng có thể bị lộ ra. Các nhà nghiên cứu báo cáo phát hiện của mình vào ngày 30 tháng 7.

    Facebook nhanh chóng lấy xuống máy chủ cho đến khi một bản vá được phát hành. Blaklis đã được trao $ 5,000 cho những nỗ lực của mình. Công ty đã vá lỗ hổng và khởi động lại dịch vụ.
     
  2. nhatminhaud

    nhatminhaud https://expertis.vn/kiem-toan-thue/

  3. baohotoandien

    baohotoandien Member

    có lỗ hổng không biết có lợi gì cho SEO mà đã vội vá lại rồi kekeke.
     
  4. mansamusa

    mansamusa New Member

    giao thức TLS 1.3 mới nhất Ae có ai dọc chưa nhỉ
     
  5. baohotoandien

    baohotoandien Member

    tất nhiên là không có lợi cho Facebook còn SEO nào cố gắng để hưởng lợi cũng sẽ bị Facebook cảnh cáo thôi.
     

Chia sẻ trang này

Users Viewing Thread (Users: 0, Guests: 0)

XenForo Add-ons by Brivium ™ © 2012-2013 Brivium LLC.