„Hackněte“ si YouTube. Stačí vám 5 sekund

YouTube má zajímavou chybu, která vzdáleně připomíná praktiky XSS – Cross-site scripting. V rámci XSS útočník zneužije (nebo ještě lépe řečeno využije) javascriptový kód na cílových stránkách, který pak ve vašem prohlížeči vykreslí třeba něco úplně jiného, než autor stránek zamýšlel.

XSS je nejjednodušší „hackerskou“ metodou, která je často zneužívána třeba při útocích na webové stránky politických stran. Oběťmi se nedávno staly weby španělského předsednictví i stránky ČSSD.

„Tak-trochu-XSS“ můžete ochutnat i na YouTube. Webovým stránkám přitom nemusíte posílat „zákeřný“ javascriptový kód – stačí pouze trošku pozměnit webovou adresu.

A oč se jedná? Největší videoportál na světě kupodivu nemá ošetřenou příslušnost dílčích videí k jejich autorům, změnou URL tak snadno docílíte, že se na uživatelském profilu X zobrazí video od uživatele Y.

A vznikat z toho nakonec mohou podobné vtípky jako třeba na obrázku níže, kde je názorně zakresleno, co je třeba udělat k malému a neškodnému podvodu.

Jak na to?

Navštivte libovolný profil/kanál na YouTube a spusťte z postranního panelu video. Nyní se podívejte na WWW adresu a zaměňte původní ID videa na konci adresy za jiné ID. Podívejte se na příklad v obrázku níže.

Původní adresa videa na profilu CNN International tedy bude mít třeba tuto adresu:
http://www.youtube.com/user/CNNInternational#p/u/0/D8SstJ-TWmQ

Všimněte si spleti znaků (ID videa) na konci adresy a zaměňte jej třeba za ID videa posledního Týdne Živě. Nová adresa tedy může vypadat třeba takto:
http://www.youtube.com/user/CNNInternational#p/u/0/0NMyJP8Qd0s

Pokud nyní navštívíte novou adresu v prohlížeči, spustí se sice YouTube a vykreslí se design kanálu CNN International, namísto původního videa se ale vloží naše video z profilu ZiveCz a tedy poslední Týden Živě.

Klepněte pro větší obrázek
Profil sice patří americkému prezidentskému úřadu, spustí se ale video s Homerem
 
Klepněte pro větší obrázek
Vývojáři z Ubuntu komunity mají rádi Steva Ballmera
A pokud ne, snadno jim v tom pomůžete změnou URL

Klepněte pro větší obrázek  Klepněte pro větší obrázek
Týden Živě rázem získal exkluzivní podporu ze strany prezidentského úřadu USA a Googlu
 
Klepněte pro větší obrázek  Klepněte pro větší obrázek
Nejvíce nás ale nakonec potěšila podpora ze strany Vatikánu a samozřejmě i zmínka na CNN

 

Témata článku: Google, Web, YouTube, Internet, Youtube Video

20 komentářů

Nejnovější komentáře

  • Martin Sloup 24. 2. 2010 22:32:45
    Nebo Vatikán s trochu lechtivější tématikou......
  • Jozef Repáň 24. 2. 2010 16:42:59
    Tak to je brutalny "HACK" .... facepalm..:-|
  • Jaroslav Dohnal 23. 2. 2010 22:10:13
    HEJ, tak to se povedlo :D :D :D :-D:-D:-D
Určitě si přečtěte

Nové úlovky kamer Googlu: Šmírovačka na Street View nepřestává bavit

Nové úlovky kamer Googlu: Šmírovačka na Street View nepřestává bavit

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

19.  5.  2017 | redakce | 38

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

** Stáhnete si film a titulky třeba z OpenSubtitles.org ** A osud vás za ten warez záhy potrestá ** Specialisté totiž ukázali, že i v titulcích může být schovaný virus

24.  5.  2017 | Jakub Čížek | 55

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

** WannaCry se masivně rozšířil kvůli zranitelnosti ve Windows ** Ta mu umožnila, aby se pokusil sám napadnout další počítače ** Jenže ta chyba už je dva měsíce opravená!

22.  5.  2017 | Jakub Čížek | 95

Nastal čas znovu vynalézt klávesnici. Anebo vám ta současná opravdu vyhovuje?

Nastal čas znovu vynalézt klávesnici. Anebo vám ta současná opravdu vyhovuje?

**Měli bychom provést revoluci klávesnice? ** Anebo je její dnes už hodně zastaralý koncept prostě nejlepší? ** Budeme na klávesnici odkázaní už navždy?

20.  5.  2017 | Jakub Čížek | 60


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky