Attacher un .exe dans un message Facebook, c'est possible (oui oui...)

Image illustrant l'article : Attacher un .exe dans un message Facebook, c'est possible (oui oui...)

Attacher un .exe dans un message Facebook, c'est possible (oui oui...)

par Korben -

Le chercheur en sécurité Nathan Power a découvert une faille dans Facebook qui permet tout simplement d’attacher un .exe dans un message. Le truc marrant, c’est que pour envoyer un message à quelqu’un, on n’a pas besoin (par défaut) d’être son ami.

Il y a quand même des contrôles sur Facebook pour empêcher l’attachement d’un .exe à un message, mais il suffit de modifier la requête POST et de rajouter un simple espace à la fin du nom du fichier pour que ça passe. En effet, le système de vérification de Facebook se contente de parser la variable filename :

Content-Disposition: form-data; name="attachment"; filename="cmd.exe"

Modifier à la volée le POST pour y mettre filename=“cmd.exe “ (avec l’espace donc) suffit pour attachez n’importe quel .exe.

https://korback.info/wp-content/uploads/2011/10/hot_stuff9.png

Le temps que Facebook corrige la faille, ça va être la fête au malware sur Facebook. Méfiez-vous donc de qui vous envoie quoi dans les jours qui viennent…

[Source]

Que faire après le bac quand on est passionné de cybersécurité ?

Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus