Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Súlyos Twitter hiba, béna javítás

2009.08.28. 13:09 | buherator | 1 komment

James Slater olyan problémát fedezett fel a Twitter szolgáltatásban, melynek kihasználásával tetszőleges JavaScript kód szúrható a szolgáltatás webes felületére, így pofonegyszerűen összehozható egy aranyos kis Twitter-féreg, amely pusztán egy-egy mikroposzt megtekintésekor képes megfertőzni a gyanútlan felhasználókat. 

A problémát az okozza, hogy az új, külső alkalmazások (amilyen pl. a Twitterfeed vagy a TweetDeck) regisztrálására szolgáló űrlapon nem szűrik megfelelően az alkalmazás weboldalának megadására szolgáló beviteli mezőt, melynek tartalma minden, az adott alkalmazással küldött csirip alatt megjelenik. Ebbe a mezőbe kártékony JavaScriptet illesztve az összes, minket követő felhasználó böngészőjében lefut a kis kódunk, mellyel hozzáférhetünk az illető profiljához, új posztokat küldhetünk, vagy egyszerűen csinálhatunk egy átirányítást valamilyen trükkös kódokkal teletűzdelt weboldalra. 

A szolgáltatót természetesen értesítették a problémáról, és született is egy javítás: azt azonban mindenki tudja, hogy egy élelmes programozót nem állítanak meg olyan apró akadályok, mint az, hogy nem lehet szóközt használni a kódban. Egyelőre nem érkezett hír arról, hogy ennél jobb védelmet alakítottak volna ki, óvatosan böngésszük hát a webes felületet!

 

Címkék: twitter xss

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

HoaxSpecialist · http://hacker.blog.hu 2009.08.30. 06:23:56

Hát Twitteréket igába hajtják.. nemhogy a májkroszofttal baszkódnának.. :)