Article complet: Faille injection de paramètre HTTP pour FaceBook

Encore une faille FaceBook (qui semble les collectionner), entre les dumps SQL (lisez ça c'est adorable), les possibles problèmes de leak et le total contrôle des données, les attaques phishing, les failles HTTP et applicatives ... Allez, quand même pas une XSS ou CSRF dans le futur, si ?
Non, ne m'envoyez pas d'invitation par pitié, je serai au regret de la refuser :'-(

Cette faille (comblée) exploite un paramètre de la requête HTTP afin de pouvoir lister les infos d'un membre les ayant rendues privées.
La vidéo est par là

On voit pas grand chose, si ce n'est l'extension tamper data de Firefox en action.

J'adore cette extension, car taper la requête HTTP dans telnet peut vite virer au casse-tête !
De plus, elle possède tout un tas de patterns XSS ou SQLInjection intégrés ainsi que d'autres options sympathiques.

Je rappelle tout de même que l'on teste avec sa propre sécurité sur ses propres serveurs n'est ce pas ? ;-)
Puis enfin concernant la faille, n'hésitez pas à schématiser votre application et tous ses points d'entrée. Validez les tous. Pour cela vous disposez de plusieurs niveaux : serveur (mod_security de Apache, règles htaccess ...) , hook d'entrée CGI comme l'extension ext/filter de PHP et ses paramètres ini, amont applicatif : objet de requête, ou encore dans les contrôleurs individuellement).