05 lipca 2010
XSS w YouTube.com
W powszechnie znanym i bardzo popularnym serwisie YouTube.com odnaleziona została wczoraj luka typu Persistent XSS. Za pośrednictwem odpowiedniego komentarza dodanego do filmu, możliwe było wstrzyknięcie własnego potencjalnie niebezpiecznego kodu. W ten oto sposób serwis zapamiętywał wprowadzony kod i prezentował go kolejnym odwiedzającym dany adres internautom. Przyjrzyjmy się potencjalnym skutkom tego typu ataku.
Prosty kod pozwalał na wyświetlenie alertu:
Oto zarejestrowany przykład dokumentujący proste wstrzyknięcie kodu HTML:
Tego typu podatność pozwala również na całkowitą zmianę wyglądu witryny (defacement):
To jednak nie wszystko. Podatność mogła również pozwolić intruzom na kradzież m.in. session cookies. Na szczęście wydaje się jednak, że nie mogło to prowadzić do uzyskania nieuprawnionego dostępu do innych usług Google (poza serwisem YouTube), ponieważ wszystkie inne usługi znajdują się w innych domenach.
W całej sprawie warto również podkreślić natychmiastową reakcję administratorów serwisu, którzy dosłownie w ciągu kilku godzin od upublicznienia informacji na temat luki, uniemożliwili dodawanie potencjalnie niebezpiecznych komentarzy.
[źródło]
[źródło]
Subskrybuj:
Komentarze do posta (Atom)