Facebook otorga una recompensa de 20.000 dólares por el descubrimiento de vulnerabilidades
La vulnerabilidad de secuencias de comandos entre sitios podría haber permitido la adquisición de cuentas trivial. Facebook otorgó a un investigador de seguridad $ 20,000 por descubrir una vulnerabilidad de secuencias de comandos entre sitios (XSS) en el SDK de inicio de sesión de Facebook, que los desarrolladores utilizan para agregar un botón «Continuar con Facebook» a una página como método de autenticación. La explotación podría permitir a los actores de amenazas secuestrar cuentas. El investigador de seguridad Vinoth Kumar identificó una falla XSS basada en Document Object Model (DOM) en el método window.postMessage () del código de la plataforma. Se supone que este método permite la comunicación segura de origen cruzado entre objetos de Windows. Kumar dijo que descubrió la falla cuando fue a buscar vulnerabilidades del lado del cliente, más específicamente, problemas de XSSI, JSONP y postMessage, según una publicación reciente del blog.
Fuente: Threatpost