eorang peneliti keamanan bernama
Frans Rosen telah menemukan kerentanan
Cross Site Scripting (XSS vulnerability) di Facebook dan DropBox.
Awalnya, peneliti tersebut bekerja untuk menemukan celah keamanan di
DropBox. Dia memperhatikan bahwa ketika menggunakan web interface
DropBox ada beberapa pembatasan pada nama file apa yang diizinkan. Dia
mencoba untuk merename file dengan
'"><img src=x onerror=alert(document.domain)>.txt tapi Ia malah mendapat pesan error bahwa beberapa karakter khusus tidak diperbolehkan.
Cyber4rt mengutip keterangan dari
Blog
peneliti tersebut, ia mengatakan bahwa " tapi, jika Anda terhubung pada
direktori lokal, membuat file disitu dan disinkronisasikan, Anda
mendapatkan Dropbox tanpa masalah. Dengan menggunakan metode ini saya
dapat menemukan 2 masalah dengan pesan pemberitahuan yang menunjukkan
nama file unescaped."
Dia kemudian menyampaikan ke DropBox tentang kerentanan itu dan mereka telah berhasil memperbaiki kelemahan tersebut
.
Setelah beberapa waktu, ia melihat bahwa ada hubungan antara DropBox
dan Facebook. Kita dapat menambahkan file langsung dari DropBox ke Grup
Facebook. Jadi dia penasaran untuk menguji kerentanan itu juga di
Facebook.
Pada Grup Facebook-nya, ia mencoba untuk menambahkan file yang diunggah
sebelumnya di DropBox. Setelah ia memposting dalam grup, serangan XSS
tidak bekerja. Tapi ketika dia mengklik 'Share' link di postingan, ia
mendapat pesan peringatan. Ya, Berhasil, ia berhasil menjalankan Script
di Facebook. Kerentanan XSS ini juga bekerja ketika ia berbagi crafted
pin dari Pinterest.
Atas penemuannya, Peneliti itu mendapat hadiah uang sebesar
$3,500 dari Facebook karena telah melaporkan bug, dan Facebook pun telah memperbaiki kerentanan tersebut.
sumber: cyber4rt.com