Twitter Cross Site (XSS) Vulnerabilità – Watch Out!

da Klaus su Agosto 28, 2009

in Twitter

twitter_logoJames Slater, IT sviluppatore con una società britannica specializzata in search engine optimization, ha trovato una vulnerabilità di sicurezza nel social network, Twitter.

Il semplice atto di leggere tweets online su twitter.com potrebbe causare a qualcuno di rubare il vostro cookie di login e potenzialmente accedi al tuo account Twitter – o semplicemente di reindirizzare ad un sito di phishing, ecc.

Funziona con l'inserimento di codice javascript nella “API” campo quando si aggiunge tweets. Tutte le applicazioni 3rd party che si possono utilizzare per tweet con, avranno il loro nome sotto il tweet, così invece di dire “TweetDeck” ci sarà un pezzo di codice JavaScript che potrebbe fare un sacco di roba.

Il codice javascript si potrebbe semplicemente reindirizzare a un sito phishing, un sito dannoso, un sito porno o di qualsiasi sito al mondo per quella materia. Si potrebbe anche prendere il vostro cookie di login e lo trasmette a un sito che poi conservarlo per un uso successivo. Non sono sicuro su quanto essi saranno in grado di fare con il vostro cookie di login, ma si potrebbe probabilmente ottenere l'accesso al tuo account Twitter con esso – ma senza conoscere la password attuale.

Il codice dovrebbe essere in grado di eliminare tutti i messaggi Twitter o inviare un messaggio a tutti i tuoi seguaci.

James Slater già fatto Twitter a conoscenza del problema, ma finora Twitter a quanto pare non hanno fatto altro che fare in modo che non è possibile scrivere uno spazio nel “API di campo”. Dubito quanto sia efficace che è veramente. Si invita pertanto a seguire solo le persone che ti conoscono, e non solo perché si seguono.

Io in realtà anche provato il cookie rubare io stesso una volta. Ho trovato un forum fatta in casa che non era così sicura, ma ancora il forum più visitato in quel paese nella sua nicchia. Non ho fatto male a nessuno, naturalmente, ma sono riuscito a rubare il mio biscotto di login e salvarlo in un database su un sito esterno, semplicemente aggiungendo riscritto javascript in un post sul forum. E 'una questione di sfuggire ai controlli di sicurezza e di essere ancora in grado di iniettare javascript. Naturalmente ho fatto gli sviluppatori a conoscenza del problema e spero che lo fissa, quindi speriamo Twitter consente di risolvere anche questo, una volta per tutte.

In questo video, James Slater dimostra un po 'su come funziona:

Articoli correlati che potreste trovare interessante:

Commenti & Lascia un tuo commento

commenti

CommentLuv and the normal WordPress comments system has been
temporarily removed in order to cut down on comment spam!

Post precedente:

Next post: