Sjekk her.

Ja, Man får finnerlønn.

Tror ikke du får så mye i finnerlønn om ikke problemet er alvorlig.

hvor alvorlig er problemet på en skala ifra 1 til 10? :P

vil tro du får penger for det om det er alvorlig, men hvis det ligger på en 1-3 så vil jeg tro at de bare takker deg og bla bla....

Vel, det er mulighet for å logge cookies via den siden på facebook, bruke disse for å så logge på din bruker om du f.eks besøker siden tror jeg. Videre kan jeg jo redirecte alle på den siden til en falsk facebook side som automatisk laster ned en java-applet eller lignende som gjør at jeg får full kontroll over din pc.

Neida. Hvor alvorlig det er vet jeg ikke, Vil ikke teste for mye heller.

Vel, du får tvilsomt noe som helst uten å rapportere dette. Om dette skulle vise seg seinere å være et stort sikkerhetshull av en eller annen grunn og dette var utrolig viktig at ble rapportert ift. andres personvern - takk på forhånd fra meg.

Kan du forklare hvordan du gjør dette?
Evt hvor lærer du sånn, har ikke tenkt å gjøre noe bare intresert.

Les om : XSS - så vil du forstå. Det er ikke så avansert egentlig, men kan jo gjøre store skader noen ganger. (Facebook burde vært sikker mot det da, syns nå jeg).

MARCELODINGDONG.... <--- Lolz

hackforums.net du har der i fanen?

Ser slik ut

500 -> 5000 USD har jeg hørt

Stemmer.



10 tegn.

Skjønte ikke helt hva du har gjort egentlig?


Ja, jeg har lest om xss.

Hvis du lager en detaljert rapport om hvordan du gikk fram og sender den til facebook vanker det mye gryn Om det er ett alvorlig sikkerhetshull, så klart

"Hacked by", hahah.


Du gjør vel i teorien noe ulovlig ved å utøve og teste om exploiten faktisk fungerer, så ville ikke meldt det sånn.. Direkte med en gang.

Og jeg fant kjempehull på vg.no! Får jeg også spenn, eller? Jeez, tror du et screenshot beviser noe som helst, eller? For alt jeg veit så gjorde du bare det samme som meg.

http://bildr.no/thumb/1008225.jpeg

Dette er bare en simpel test for å vise at det faktisk er mulig og gjøre andre type xss enn den vanlige "Alerten". Og joa, gjør vel kanskje noe ulovlig ved teste siden mot xss men samtidig vil facebook at man skal rapportere dette framfor å misbruke det (I tilleg får man også en slant med penger).

Åssen vil du forresten ha det bevisst Pløyd?

vil du forklare hva du gjorde etter at du får finnerlønn eller når sikkerhets hullet er tettet?

hadde vært morro å sett hva du gjorde

Etter de har fått tettet dette vil jeg forklare hvordan dette xss hullet ble funnet ja ,)

Kan tenke meg at det er XSS hull i en applikasjon, og ikke selve facebook? Med tanke på at det viser usikre elementer i HTTPS tilkoblingen din?

Kan bare si at du tar feil Steinmetz. Det er nok i selve Facebook og ikke i en applikasjon.

Den er en milliard sånne på facebook, lite alvorlig.

http://bildr.no/thumb/1008390.jpeg

Goophy: Gikk du inn i denne tråden for å angripe meg "personlig" eller hadde du kanskje lyst til å være saklig iforhold til ilegget mitt. Kanskje du kunne tatt deg tid til å lese spørsmålene mine : Jeg spurte ikke om du kunne få til å lage en javascript popup på facebook, ettersom jeg egentlig gir faen.
Og ja det er vel 1 milliard sånne på facebook, men greia med dette xss hullet er at det kan skade alle andre som besøker samme side på facebook, og dermed gjør det verre.

Ja, jeg ville kun angripe deg personlig.

Send en e-post til facebook om du vil. Men ikke forvent finnerlønn.

Du er veldig vag, så det er umulig å vite om dette faktisk er en reel trussel eller ikke. Er det kun XSS er det neppe særlig alvorlig. CSRF derimot ville vært et større problem.

Skriv en detaljert rapport, send den til Facebook-folka og se om du får noe for det. Flere her har bekreftet - inkludert facebook selv - at man får penger for slikt. Nå er spørsmålet ditt udiskutabelt besvart.