Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Orkut XSS féreg

2007.12.19. 23:41 | buherator | Szólj hozzá!

Nem szeretném elbitorolni Rambo kollega székét ;) de a Google közösségi oldalát, az Orkutot elkezdte megenni egy XSS féreg. Az érintettek beszámolói alapján a kis gonosztevő a scrapping szolgáltatáson keresztül mászik bele a felhasználó sessionjébe, majd elkezdi szétszórni magát az újonnan fertőzött személy epszilon sugarú környezetébe és tovább. A fertőzést elkerülni mezei felhasználóként (AdBlock, NoScript hiányában) meglehetősen nehéz, a féreg ugyanis az ún. scrapping szolgáltatáson keresztül támad, melynek tulajdonsága, hogy az új "scrap" üzenetek automatikusan megjelennek a felhasználó profiljában. Aki szeretne csámcsogni kicsit a friss húson, annak itt a féreg forrása:

A XSS-et lebecsülőknek ez a példa talán jól illusztrálja, hogy egy ilyen egyszerű támadás is milyen komoly eredménnyel járhat.

Így terjed a drága:
Ha valaki ért spanyolul (portugálul?), akkor elsőkézből olvashatja a szerző gondolatait itt.

Címkék: orkut worm xss

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.