Skip to main content

Twitter naprawił błąd Cross-site Scripting

Poważną wadą bezpieczeństwa było: podobno został znaleziony na Twitterze we wtorek, ale został szybko naprawiony.

Problem polegał na tym, że błąd cross-site scripting, napisał Georg Wicherski z Kaspersky Lab na blogu firmy.

Cross-site scripting to atak, w którym rysowany jest skrypt z innej witryny sieci Web może być uruchamiana, która nie powinna służyć do kradzieży informacji lub potencjalnie do uruchomienia innego złośliwego kodu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Wicherski napisał okazało się, że użytkownik musi tylko najechać kursorem na szkodliwy link w celu wyzwolenia usterki, ale inny test wykazał, że interakcja użytkownika nie była wymagana.

"Możliwe jest załadowanie dodatkowego skryptu JavaScript z zewnętrznego adresu URL (Uniform Resource Locator) ) bez interakcji użytkownika, co czyni tę definicję ely robaczywy i niebezpieczny ", napisał Wicherski.

Twitter potwierdził problem. "Zidentyfikowaliśmy i łatamy atak XSS, jak zawsze, prosimy o wiadomość @safety, jeśli masz informacje dotyczące takiego exploita", napisała firma we wtorek po południu.

Kod ataku został opublikowany w komunikatorze IRC usługi, napisał Wicherski. Inni ludzie, którzy zauważyli problem, zamieścili kilka nieszkodliwych demonstracji demonstracyjnych koncepcji, napisał Paul Mutton z Netcraft. Błąd mógł pozwolić na coś tak łagodnego jak wyskakujący komunikat, gdy przesuwa się nad tweetem, jak pokazano na blogu Netcraft.

Ale Baran napisał, że jeden użytkownik wykazał się poważniejszymi możliwościami, takimi jak kradzież ciasteczek. Pliki cookie to małe fragmenty danych przechowywane w przeglądarce internetowej, które służą do śledzenia użytkowników i pamiętania, czy użytkownik chce być zalogowany na stronie internetowej.

Audyty witryn internetowych wykazały, że błędy skryptów między lokacjami są jednymi z najczęstsze luki w aplikacjach internetowych.

Roczny raport IBM X-Force dotyczący trendów i ryzyka, znaleziony wcześniej w tym roku, w którym ataki typu "cross-site scripting" wyprzedziły iniekcję SQL jako jeden z rodzajów luki w zabezpieczeniach aplikacji WWW. Ataki typu SQL injection pojawiają się, gdy polecenia są wprowadzane do formularzy sieciowych, co może spowodować, że wewnętrzne bazy danych ujawnią dane, jeśli te bazy danych nie zostaną poprawnie skonfigurowane.

Kolejna ankieta firmy WhiteHat Security, firmy specjalizującej się w wykrywaniu luk w aplikacjach internetowych , okazało się, że istnieje 66 procent szans na to, że strona będzie miała problem z cross-site scripting.

Prześlij porady i komentarze na adres [email protected]