圖片來源: 

臉書

為了協助漏洞獵人能夠更方便地在臉書平台與行動程式上執行安全研究,臉書(Facebook)最近推出了白帽設定(White Settings)功能,當漏洞獵人啟用白帽設定之後,即可突破臉書既有的安全機制,以利他們展開測試。

臉書的行動程式通常會整合各種安全機制,例如其中之一的Certificate Pinning能夠自動拒絕採用偽造SSL憑證的網站連結。臉書說,這些機制雖是為了確保使用者資料傳輸的安全性,但同樣地它們也替想要尋找安全漏洞的白帽駭客們築高了測試門檻。

於是臉書決定透過白帽設定降低程式的安全能力,以讓漏洞獵人們更容易以行動程式來測試伺服器端的安全漏洞。

白帽設定主要有3個選項,一是允許使用者憑證,二是啟用Platform API請求代理機制,三則是關閉臉書對TLS 1.3的支援,最後一項是為了因應那些只相容於TLS 1.2的Burp Suite或Charles等測試工具。

漏洞獵人必須先至臉書的白帽駭客網頁啟用白帽設定,選擇欲採用這些設定的行動程式(Facebook、Messenger或Instagram),之後即可於行動程式上看到該設定並啟用它。目前此一設定僅支援Android平台上的各項臉書程式,並不支援iOS平台。

由於白帽設定基本上是降低了臉書各項程式的安全性,因此臉書也建議研究人員在非測試期間最好將它關閉。


Advertisement

更多 iThome相關內容