Portal Impreza
Fazer loginMeus ServiçosMeus DomíniosMinhas FaturasMeus Tickets
Notícias
Logos Comemorativos
Nossa plataforma
Tutoriais
Tutoriais em vídeoBase de conhecimento
Mais
UptimeStatus da redeAfiliadosTrabalhe ConoscoSobre Nós
pt-brPortuguês (R$ BRL)
enEnglish ($ USD) (Inglês ($ USD))
Contato
Enviar ticket (Menos de 1 hora para responder)Whatsapp (Menos de 24 horas para responder)Telegram (Menos de 24 horas para responder)Denunciar abuso
INÍCIODOMÍNIOS

Servidores

Seja Offshore, seja na Surface, nós temos de tudo, várias
opções de Servidores para vários tipos de uso!

Hospedagem de Sites

Hospedagens prontas para receber seu Website, seja em
Wordpress ou outro sistema, nós damos conta!

E-mails

Seja profissional online e obtenha um E-mail único com
seu nome ou o nome da sua empresa!

Segurança

Navegue livremente ao escolher um de nossos métodos
de segurança online, esteja sempre Anônimo!

Escolha o Melhor Serviço de Hospedagem para você!

Escolha uma Hospedagem completa para o seu negócio, tenha tudo o que precisa para começar online

Todos os Produtos ➤
HOSPEDAGEM DE SITESHOSPEDAGEM DE SITESO primeiro passo para deixar seu site onlineO primeiro passo para deixar seu site onlineSAIBA MAIS

Tenha um Serviço de Hospedagem que funcione para você e vamos começar uma jornada juntos!

Serviços Recomendados

Certificados SSL

Backup para Sites

E-mail Open-Xchange

CONTATO
Login
Logar no PortalCriar uma Conta
Nenhum comentário

A falha do cookie do Facebook permitiu o acesso à sua rede interna

 

O pesquisador Alaa Abdulridha, estudante de engenharia da computação da Universidade da cidade de Kharkiv, Ucrânia, postou em seu blog a informação de que ganhou um prêmio de $ 54.800 do programa de bounty bug do Facebook por descobrir e informar uma falha que dava acesso aos dados internos da empresa rede. Em dezembro de 2020, ele já havia ganhado US $ 7.500 do Facebook por descobrir uma vulnerabilidade na API de um serviço aparentemente usado pelo departamento jurídico da empresa: a falha de dezembro poderia ter sido explorada para redefinir a senha de qualquer conta de um aplicativo da web. usado internamente por funcionários do Facebook, disse ele.

Em post em seu blog publicado na quinta-feira, 18 de março de 2021, o pesquisador disse que continuou analisando o mesmo aplicativo e mais uma vez conseguiu acessá-lo, mas desta vez manipulando os dados do cookie. Ele afirmou que, a partir desse acesso, ele foi capaz de lançar um ataque de falsificação de solicitação do lado do servidor (SSRF ou falsificação de solicitação do lado do servidor) e obter acesso à rede interna do Facebook. O Facebook descreveu isso como “um invasor capaz de enviar solicitações HTTP para sistemas internos e ler suas respostas”.

Abdulridha mostrou no post a correspondência que recebeu do Facebook agradecendo pela descoberta e informando do recebimento do prêmio.

“Consegui escanear as portas dos servidores locais e navegar nos aplicativos locais / aplicativos da web que a empresa usa em sua infraestrutura”, disse ele no blog. “Tenho certeza de que essa vulnerabilidade em mãos erradas pode ser escalada para o CER e pode representar um grande risco para a empresa e seus clientes.”

O pesquisador disse que obteve acesso encadeando duas vulnerabilidades até chegar ao ponto de acesso à rede interna do Facebook. Ele disse em seu blog que esse tipo de acesso permitia:

  • Acesse qualquer conta de funcionário do Facebook no painel do departamento jurídico
  • Acesse a rede interna do Facebook (intern.our.facebook.com)
  • Talvez escalar esta vulnerabilidade e usá-la para fazer a varredura da rede e dos servidores internos

“Todos nós sabemos o quão crítico é o SSRF, especialmente porque ele não tem um limite de velocidade de acesso”, disse ele.

Com agências de notícias internacionais

 

Fonte: CisoAdvisor

Você pode gostar também
Notícias, Mercado, Marketing
Notícias, Mercado, Marketing

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.