近日，Facebook点击劫持漏洞曝光，研究人员通过漏洞赏金计划向其反馈无果后，发布了可创建Facebook蠕虫的概念验证PoC代码。

图片来源于pixabay

该漏洞由笔名为Lasq的波兰研究人员发现，其众多好友Facebook墙上均出现了指向法国漫画网站的恶意链接。该网站被托管在AWS桶上，内含受限制的漫画及广告页面，仅年满16岁的用户方可访问，当用户点击该链接时也会同步将其发布到自己的Facebook墙上。

Lasq通过研究发现，该漏洞源于Facebook忽略了移动共享对话框的“X-Frame-Options”安全标题，该标题可防止恶意代码在iFrame中加载，其源页面上的iFrame包含多个恶意链接及可在Facebook上共享内容的URL。

图片来源于pexels

Lasq公开的PoC代码仅允许黑客在Facebook用户账户上运行未经授权的代码，不包括点击劫持部分（用户在Facebook墙上发布的内容），但黑客可通过互联网轻易搜索到构建该部分的详细信息和示例代码。

Lasq认为，该漏洞极易被利用，黑客可通过替换链接内容轻易传播恶意软件或网络钓鱼站点。对此，Facebook回应称，已对所有iframeable插件产品进行点击劫持检测，将根据观察到的信号不断改进这些系统。

图片来源于unsplash

来源：http://u6.gg/g8tt3