Un fallo en Facebook permite adjuntar ejecutables

En Facebook podemos enviar un mensaje a cualquier usuario (aunque no sea nuestro amigo) y tenemos la la posibilidad de adjuntar ficheros. Sin embargo, no está permitido subir ejecutables (extensión .exe).


Precisamente ayer salió a la luz un bug de Facebook que permite evadir fácilmente esta restricción. Simplemente, dentro de la petición POST, hay que modificar el valor de la variable filename añadiendo un espacio al final del nombre de fichero que queremos subir:

Content-Disposition: form-data; name="attachment"; filename="calc.exe "

Así de fácil.

Comentarios