Falha de segurança no Facebook fornecia o /etc/passwd de sua estrutura

De acordo com notícia do Slashdot o Facebook pagou a sua maior premiação para quem acha bugs ( por volta de 33 mil e quinhentos dólares ) por causa de uma falha. 

Facebook bug

A falha permitia uma execução remota de código que retornava o /etc/passwd do Facebook.

O pesquisador modificou o uso do Gmail como OpenID para uma URL que ele controlava e a partir daí mandou um XML malicioso.

A reposta a este XML enviado pelo Facebook continha o /etc/passwd que para quem conhece, sabe que contém diversas informações bem interessantes ... ( para quem não conhece é o arquivo que contém informações de usuários dos sistemas Operacionais Unix e Unix-Like ).

O Facebook já aplicou uma correção, mas é até estranho pensar que algo tão crítico esteve por lá por tanto tempo e ainda não foi explorado ...

Bom, se é que realmente não foi ... 

Fonte: Slashdot

comments powered by Disqus