14:52 28.08.2009 В Twitter обнаружена новая уязвимость | |
Британский эксперт по SEO-оптимизации Девид Нэйлор обнаружил в
социальной сети Twitter программную уязвимость, эксплуатация которой
ведет к массовому заражению компьютеров пользователей злонамеренным
программным обеспечением. Кроме этого, Нэйлор утверждает, что
злоумышленники могут использовать уязвимость через стороннее
программное обеспечение, полагающееся на API Twitter. Со слов эксперты, найденная XSS-уязвимость предоставляет хакерам
возможность внедрения JavaScript-кода прямо внутрь сообщение. Делается это
при помощи ряда кодовых функций, заявленных в API. При выполнении
данного кода браузером подключившегося пользователя система может
перенаправить его на вредоносный сайт или сервисную страницу, где под
видом запроса от имени администрации Twitter пользователя попросят
предоставить личные данные. В общем видео XSS (англ. Сross Site Sсriрting — «межсайтовый
скриптинг») представляют собой тип уязвимости компьютерной системы и
используется при хакерской атаке. Специфика подобных атак заключается в
том, что вместо непосредственной атаки сервера, они используют уязвимый
сервер в качестве средства атаки на клиента. XSS-атака обычно
проводится путём конструирования специального URL, который атакующий
предъявляет своей жертве. Условно XSS можно разделить на активные и пассивные: пассивные XSS
подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо
он не может автоматически выполниться в браузере жертвы. Для
срабатывания пассивной XSS, требуется некое дополнительное действие,
которое должен выполнить браузер жертвы (например клик по специально
сформированной ссылке). Их также называют первым типом XSS; при
активных XSS вредоносный скрипт хранится на сервере, и срабатывает в
браузере жертвы, при открытии какой-либо страницы зараженного сайта. Их
также называют вторым типом XSS. Эксперты говорят, что XSS-уязвимости особенно опасны применительно к
социальным сетям, учитывая масштабы популярности последних. В Twitter
подтвердили факт получения данных об уязвимости с сказали, что работают
над ее исправлением.
| |
|
Всего комментариев: 0 | |