reklama

„Hackněte“ si YouTube. Stačí vám 5 sekund

YouTube má zajímavou chybu, která vzdáleně připomíná praktiky XSS – Cross-site scripting. V rámci XSS útočník zneužije (nebo ještě lépe řečeno využije) javascriptový kód na cílových stránkách, který pak ve vašem prohlížeči vykreslí třeba něco úplně jiného, než autor stránek zamýšlel.

XSS je nejjednodušší „hackerskou“ metodou, která je často zneužívána třeba při útocích na webové stránky politických stran. Oběťmi se nedávno staly weby španělského předsednictví i stránky ČSSD.

„Tak-trochu-XSS“ můžete ochutnat i na YouTube. Webovým stránkám přitom nemusíte posílat „zákeřný“ javascriptový kód – stačí pouze trošku pozměnit webovou adresu.

A oč se jedná? Největší videoportál na světě kupodivu nemá ošetřenou příslušnost dílčích videí k jejich autorům, změnou URL tak snadno docílíte, že se na uživatelském profilu X zobrazí video od uživatele Y.

A vznikat z toho nakonec mohou podobné vtípky jako třeba na obrázku níže, kde je názorně zakresleno, co je třeba udělat k malému a neškodnému podvodu.

Jak na to?

Navštivte libovolný profil/kanál na YouTube a spusťte z postranního panelu video. Nyní se podívejte na WWW adresu a zaměňte původní ID videa na konci adresy za jiné ID. Podívejte se na příklad v obrázku níže.

Původní adresa videa na profilu CNN International tedy bude mít třeba tuto adresu:
http://www.youtube.com/user/CNNInternational#p/u/0/D8SstJ-TWmQ

Všimněte si spleti znaků (ID videa) na konci adresy a zaměňte jej třeba za ID videa posledního Týdne Živě. Nová adresa tedy může vypadat třeba takto:
http://www.youtube.com/user/CNNInternational#p/u/0/0NMyJP8Qd0s

Pokud nyní navštívíte novou adresu v prohlížeči, spustí se sice YouTube a vykreslí se design kanálu CNN International, namísto původního videa se ale vloží naše video z profilu ZiveCz a tedy poslední Týden Živě.

Klepněte pro větší obrázek
Profil sice patří americkému prezidentskému úřadu, spustí se ale video s Homerem
 
Klepněte pro větší obrázek
Vývojáři z Ubuntu komunity mají rádi Steva Ballmera
A pokud ne, snadno jim v tom pomůžete změnou URL

Klepněte pro větší obrázek  Klepněte pro větší obrázek
Týden Živě rázem získal exkluzivní podporu ze strany prezidentského úřadu USA a Googlu
 
Klepněte pro větší obrázek  Klepněte pro větší obrázek
Nejvíce nás ale nakonec potěšila podpora ze strany Vatikánu a samozřejmě i zmínka na CNN

 

Témata článku: Google, Web, Internet, YouTube

20 komentářů

Nejnovější komentáře

  • Martin Sloup 24. 2. 2010 22:32:45
    Nebo Vatikán s trochu lechtivější tématikou......
  • Jozef Repáň 24. 2. 2010 16:42:59
    Tak to je brutalny "HACK" .... facepalm..:-|
  • Jaroslav Dohnal 23. 2. 2010 22:10:13
    HEJ, tak to se povedlo :D :D :D :-D:-D:-D
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 101

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 36

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 73


reklama