instagram

Facebook, Instagram: Nouveaux paramètres pour le pentest

Facebook a présenté une nouvelle fonctionnalité conçue pour faciliter le travail des chasseurs de bug bounty dans les applications Instagram, Facebook et Messenger sur Android.

Vu que toutes les applications appartenant à Facebook utilisent des mécanismes de sécurité comme le HTTP Public Key Pinning pour assurer l’intégrité et la confidentialité du trafic, cela rend les choses plus compliquées pour les hackers white hat et les chercheurs en sécurité pour intercepter et analyser le trafic du réseau et trouver des vulnérabilités côté-serveur.

Le HTTP Public Key Pinning est un mécanisme de sécurité conçu pour empêcher les utilisateurs d’une application d’être victime d’une attaque réseau en rejetant automatiquement les demandes de connexion vers les sites qui utilisent des faux certificats SSL.

Nouvelle option pour les applications Facebook, Instagram et Messenger

Nommé “Paramètres Whitehat,” cette nouvelle option permet aux chercheurs de contourner le Certificate Pinning sur les applications Facebook en:

  • Désactivant le support TLS 1.3 de Facebook
  • Activant le proxy pour les requêtes de la Plateforme API requests
  • Utilisant les certificat installé par l’utilisateur
facebook whitehat setting hackers

Les paramètres Whitehat ne sont pas visibles par défaut. Les chercheurs doivent explicitement activer cette fonctionnalité pour leurs applications Android à partir de l’interface web du site Facebook.

Après être activé, vous verrez une bannière au sommet de votre application (Facebook, Messenger ou Instagram) indiquant que le test réseau est activé et que votre trafic peut être surveillé.

Si vous voulez tester l’application Instagram en utilisant les paramètres Whitehat, vous devez lier votre application Instagram avec votre application Facebook.

Il faut précisé que les paramètres Whitehat ne sont pas pour tout le monde car cela réduit la sécurité des applications Facebook installées sur votre appareil.

“Pour la sécurité de votre compte, nous vous conseillons de désactiver ces paramètres quand vous n’êtes pas en train de tester la sécurité de la plateforme,” a déclaré Facebook.

Cette nouveauté aidera donc à trouver des failles comme la faille CSRF qui a été découverte en Février dernier.

Poster un Commentaire

avatar
  S’abonner  
Notifier de