V Twitteru možná zůstává chyba cross-site scripting

1. 9. 2009

Sdílet

Americký Computerworld uvádí, že podle britského vývojáře Jamese Slatera zůstává v Twitteru stále neopravená chyba typu cross-site scripting. Útočníci mohou s její pomocí uživatele například automaticky přesměrovávat na vybrané weby.

Vlastní útok se realizuje přes JavaScript přidaný do příspěvků (tweets) pomocí pole v API, které je určeno pro vývoj dalších twitterových nadstaveb třetími stranami. John Adams, jeden z vedoucích pracovníků firmy provozující Twitter, chybu přiznal a přislíbil opravu, podle Slatera ale zranitelnost stále trvá. Stačí pouze prohlédnout příspěvek a v rámci prohlížeče se spustí kód, který udělá všechno, co prohlížeč dovolí. Může tedy dojít k přesměrování na nějakou další stránku s malwarem (další průběh podle toho, zda jsou v prohlížeči nějaké další zranitelnosti), odeslání zprávy dalším uživatelům/kontaktům/skupinám Twitteru nebo odeslání přihlašovacích údajů.

Řešení podle Slatera? Dokud nebude chyba opravena, nečíst příspěvky nikoho jiného než lidí, které člověk osobně zná. Slater svůj útok i předvedl pomocí účtu, který byl posléze zrušen, americký Computerworld ale cituje i názory, podle nichž je problém již opraven.

ICTS24