24 czerwca 2010
Twitter.com: persistent cross site scripting (XSS)
Pewien użytkownik Twittera odkrył i zademonstrował praktyczne wykorzystanie obecnej w serwisie Twitter.com luki typu persistent cross site scripting (XSS). Błąd, jak to zwykle w tego typu przypadkach bywa, pozwala potencjalnemu intruzowi na osadzenie w treści strony własnego kodu, który zostanie wykonany przez użytkowników odwiedzających dany adres. 0wn3d_5ys przygotował bardzo interesujący i widowiskowy, praktyczny pokaz możliwości wykonania ataku.
Odwiedzając profil 0wn3d_5ys naszym oczom ukażą się typowe dla takich przypadków alerty:
W końcu trafimy jednak do Matriksa:
Oto w jaki sposób własny skrypt został przemycony:
Do samego wstrzyknięcia kodu wykorzystane zostało pole Application name, które to najwyraźniej niewystarczająco filtruje otrzymywane dane:
Pole to jest wykorzystywane podczas rejestrowania zewnętrznych aplikacji:
Z zawartością wstrzykiwanego skryptu można się zapoznać pod następującym adresem http://h1.ripway.com/www.Frendster.com/011.js
Odkrywcą luki jest osoba ukrywająca się pod pseudonimem H4X0R-X0X. H4X0R-X0X prowadzi swój blog pod adresem http://www.0wn3d-5ys.co.cc/. Administratorzy Twittera zostali już powiadomieni o problemie i prawdopodobnie w najbliższym czasie luka zostanie zamknięta.
Odkrywcą luki jest osoba ukrywająca się pod pseudonimem H4X0R-X0X. H4X0R-X0X prowadzi swój blog pod adresem http://www.0wn3d-5ys.co.cc/. Administratorzy Twittera zostali już powiadomieni o problemie i prawdopodobnie w najbliższym czasie luka zostanie zamknięta.
Subskrybuj:
Komentarze do posta (Atom)