„Hackněte“ si YouTube. Stačí vám 5 sekund

YouTube má zajímavou chybu, která vzdáleně připomíná praktiky XSS – Cross-site scripting. V rámci XSS útočník zneužije (nebo ještě lépe řečeno využije) javascriptový kód na cílových stránkách, který pak ve vašem prohlížeči vykreslí třeba něco úplně jiného, než autor stránek zamýšlel.

XSS je nejjednodušší „hackerskou“ metodou, která je často zneužívána třeba při útocích na webové stránky politických stran. Oběťmi se nedávno staly weby španělského předsednictví i stránky ČSSD.

„Tak-trochu-XSS“ můžete ochutnat i na YouTube. Webovým stránkám přitom nemusíte posílat „zákeřný“ javascriptový kód – stačí pouze trošku pozměnit webovou adresu.

A oč se jedná? Největší videoportál na světě kupodivu nemá ošetřenou příslušnost dílčích videí k jejich autorům, změnou URL tak snadno docílíte, že se na uživatelském profilu X zobrazí video od uživatele Y.

A vznikat z toho nakonec mohou podobné vtípky jako třeba na obrázku níže, kde je názorně zakresleno, co je třeba udělat k malému a neškodnému podvodu.

Jak na to?

Navštivte libovolný profil/kanál na YouTube a spusťte z postranního panelu video. Nyní se podívejte na WWW adresu a zaměňte původní ID videa na konci adresy za jiné ID. Podívejte se na příklad v obrázku níže.

Původní adresa videa na profilu CNN International tedy bude mít třeba tuto adresu:
http://www.youtube.com/user/CNNInternational#p/u/0/D8SstJ-TWmQ

Všimněte si spleti znaků (ID videa) na konci adresy a zaměňte jej třeba za ID videa posledního Týdne Živě. Nová adresa tedy může vypadat třeba takto:
http://www.youtube.com/user/CNNInternational#p/u/0/0NMyJP8Qd0s

Pokud nyní navštívíte novou adresu v prohlížeči, spustí se sice YouTube a vykreslí se design kanálu CNN International, namísto původního videa se ale vloží naše video z profilu ZiveCz a tedy poslední Týden Živě.

Klepněte pro větší obrázek
Profil sice patří americkému prezidentskému úřadu, spustí se ale video s Homerem
 
Klepněte pro větší obrázek
Vývojáři z Ubuntu komunity mají rádi Steva Ballmera
A pokud ne, snadno jim v tom pomůžete změnou URL

Klepněte pro větší obrázek  Klepněte pro větší obrázek
Týden Živě rázem získal exkluzivní podporu ze strany prezidentského úřadu USA a Googlu
 
Klepněte pro větší obrázek  Klepněte pro větší obrázek
Nejvíce nás ale nakonec potěšila podpora ze strany Vatikánu a samozřejmě i zmínka na CNN

 

Diskuze (20) Další článek: Linuxové distribuce: Poraďte ostatním

Témata článku: Google, Web, YouTube, Internet, XSS, Autor stránek, Nová adresa, Youtube Video


Určitě si přečtěte

Na čem běží Seznam.cz: Běžný standard už nestačí, přechází na vlastní cloud i servery

Na čem běží Seznam.cz: Běžný standard už nestačí, přechází na vlastní cloud i servery

** Seznam nám prozradil detaily k jeho nové platformě SCIF ** V rámci jednoho privátního cloudu sjednocuje většinu služeb ** Vedle softwaru vyvíjí i vlastní hardware

Karel Javůrek | 14

Co udělat s novým počítačem s Windows, než ho začnete používat

Co udělat s novým počítačem s Windows, než ho začnete používat

** Čerstvě zakoupený počítač je vhodné trochu připravit ** Věnujte pozornost instalaci a předinstalovaným aplikacím ** Zamyslete se nad zálohou a antivirem

David Polesný | 80

Google Mapy vs. Mapy.cz: Které internetové mapy jsou lepší?

Google Mapy vs. Mapy.cz: Které internetové mapy jsou lepší?

** Jsou lepší mapy od Googlu, nebo ty od Seznamu? ** Má být mapa především tradiční mapou, nebo spíše asistentem? ** Vyslechněte si argumenty a hlasujte, na jaké straně jste vy

Jakub Čížek, Vladislav Kluska | 72

Nový iPhone a další novinky Applu: sledujte, na co se zase budou stát fronty

Nový iPhone a další novinky Applu: sledujte, na co se zase budou stát fronty

** Apple dnes představuje nové produkty v čele s novými iPhony ** Nemusí zůstat jen u telefonů, čekají se i další novinky ** Úvodní přednáška začíná v 19:00 našeho času

David Polesný | 57



Aktuální číslo časopisu Computer

Nejlepší programy pro úpravu fotek zdarma

Externí disky pro zálohu dat

Velký test: herní notebooky

Srovnání 12 batohů