„Hackněte“ si YouTube. Stačí vám 5 sekund

YouTube má zajímavou chybu, která vzdáleně připomíná praktiky XSS – Cross-site scripting. V rámci XSS útočník zneužije (nebo ještě lépe řečeno využije) javascriptový kód na cílových stránkách, který pak ve vašem prohlížeči vykreslí třeba něco úplně jiného, než autor stránek zamýšlel.

XSS je nejjednodušší „hackerskou“ metodou, která je často zneužívána třeba při útocích na webové stránky politických stran. Oběťmi se nedávno staly weby španělského předsednictví i stránky ČSSD.

„Tak-trochu-XSS“ můžete ochutnat i na YouTube. Webovým stránkám přitom nemusíte posílat „zákeřný“ javascriptový kód – stačí pouze trošku pozměnit webovou adresu.

A oč se jedná? Největší videoportál na světě kupodivu nemá ošetřenou příslušnost dílčích videí k jejich autorům, změnou URL tak snadno docílíte, že se na uživatelském profilu X zobrazí video od uživatele Y.

A vznikat z toho nakonec mohou podobné vtípky jako třeba na obrázku níže, kde je názorně zakresleno, co je třeba udělat k malému a neškodnému podvodu.

Jak na to?

Navštivte libovolný profil/kanál na YouTube a spusťte z postranního panelu video. Nyní se podívejte na WWW adresu a zaměňte původní ID videa na konci adresy za jiné ID. Podívejte se na příklad v obrázku níže.

Původní adresa videa na profilu CNN International tedy bude mít třeba tuto adresu:
http://www.youtube.com/user/CNNInternational#p/u/0/D8SstJ-TWmQ

Všimněte si spleti znaků (ID videa) na konci adresy a zaměňte jej třeba za ID videa posledního Týdne Živě. Nová adresa tedy může vypadat třeba takto:
http://www.youtube.com/user/CNNInternational#p/u/0/0NMyJP8Qd0s

Pokud nyní navštívíte novou adresu v prohlížeči, spustí se sice YouTube a vykreslí se design kanálu CNN International, namísto původního videa se ale vloží naše video z profilu ZiveCz a tedy poslední Týden Živě.

Klepněte pro větší obrázek
Profil sice patří americkému prezidentskému úřadu, spustí se ale video s Homerem
 
Klepněte pro větší obrázek
Vývojáři z Ubuntu komunity mají rádi Steva Ballmera
A pokud ne, snadno jim v tom pomůžete změnou URL

Klepněte pro větší obrázek  Klepněte pro větší obrázek
Týden Živě rázem získal exkluzivní podporu ze strany prezidentského úřadu USA a Googlu
 
Klepněte pro větší obrázek  Klepněte pro větší obrázek
Nejvíce nás ale nakonec potěšila podpora ze strany Vatikánu a samozřejmě i zmínka na CNN

 

Témata článku: Google, YouTube, Web, Internet, Youtube Video

20 komentářů

Nejnovější komentáře

  • Martin Sloup 24. 2. 2010 22:32:45
    Nebo Vatikán s trochu lechtivější tématikou......
  • Jozef Repáň 24. 2. 2010 16:42:59
    Tak to je brutalny "HACK" .... facepalm..:-|
  • Jaroslav Dohnal 23. 2. 2010 22:10:13
    HEJ, tak to se povedlo :D :D :D :-D:-D:-D
Určitě si přečtěte

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

** Pokud už choulostivé snímky vyfotíte, dbejte na jejich zabezpečení ** Útočníci je nejčastěji získají z cloudového úložiště ** Pozor si dejte i na phishing a řádné zabezpečení telefonu

25.  3.  2017 | Stanislav Janů | 55

Aktualizační nástroj Microsoftu nabízí přechod na Creators Update. Funguje to! [Aktualizováno: už ne]

Aktualizační nástroj Microsoftu nabízí přechod na Creators Update. Funguje to! [Aktualizováno: už ne]

** Aktualizace Creators Update pro Windows 10 ještě nebyla oficiálně uvolněna ** Už ale existuje způsob, jak jí ze serverů Microsoftu dostat ** Úspěšně jsme to vyzkoušeli

28.  3.  2017 | Jakub Čížek | 68

Facebook chce odříznout Google od hlavního zdroje příjmů

Facebook chce odříznout Google od hlavního zdroje příjmů

** Facebook otevřel vlastní reklamní síť dalším hráčům ** Snaží se prosadit efektivnější spojení mezi vydavatelem a inzerentem ** Weby mohou dosáhnout zvýšení příjmů z reklamy až o 30 %

27.  3.  2017 | Karel Javůrek | 12


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Inteligentní domy