【51CTO.com 獨家特稿】近期，F(xiàn)acebook驚現(xiàn)高危XSS安全漏洞，致使其用戶遭受巨大威脅。本文將對這些漏洞發(fā)布進行詳細介紹。
Facebook在2008年12月15日與2009年1月4日被曝出一系列高危XSS安全漏洞，F(xiàn)acebook眾多的功能同時遭受牽連，如新用戶注冊、iPhone登錄、密碼重新設定，等等。

攻擊者能夠利用這些XSS漏洞攻擊數(shù)以百萬計的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。拜這些高?？缯军c腳本攻擊漏洞所賜，F(xiàn)acebook用戶可能受到釣魚攻擊并導致ID失竊。截至本月5號為止，這些漏洞尚未得到修復，這些高危漏洞已經(jīng)對用戶的隱私構成了高度的威脅。

安全研究人員最近發(fā)現(xiàn)的有XSS漏洞的頁面包括，開發(fā)人員頁面、新用戶注冊頁面、iphone登錄頁面以及應用程序頁面。攻擊者能夠利用這些XSS漏洞攻擊數(shù)以百萬計的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。對于用戶來說，為了遠離這些威脅的攻擊最好不要接受不認識的人員加為好友的請求，千萬不要點擊不明來源的鏈接。

原因是Facebook的個人概況中包含了許多個人信息，“好友”通過則這些信息足以發(fā)動有針對性的釣魚攻擊，或者向您發(fā)送有針對性的垃圾郵件。但是如果您點擊了一個共享鏈接結果會怎樣呢？很明顯，對他們來說，您就不會有什么隱私了?。?！為了安全和隱私起見，一定要注意您在社交網(wǎng)絡上的個人簡介。

下面我們對這些最新漏洞分析進行介紹：

1號XSS漏洞：

所在位置：http://www.new.facebook.com/r.php
問題頁面的鏡像： 圖1

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. XSS攻擊升溫，Web業(yè)務安全面臨更大挑戰(zhàn)
2. XSS攻擊防御技術白皮書
3. 長URL背后的殺機網(wǎng)站防范XSS攻擊實錄