28 августа 2009, 19:49

В "Твиттере" обнаружена XSS-уязвимость

Британский эксперт по SEO-оптимизации Девид Нэйлор обнаружил в социальной сети Twitter программную уязвимость, эксплуатация которой ведет к массовому заражению компьютеров посетителей сети злонамеренным программным обеспечением. Кроме того, Нэйлор утверждает, что злоумышленники могут использовать уязвимость через стороннее программное обеспечение, полагающееся на API Twitter.

По словам эксперты, найденная XSS-уязвимость предоставляет хакерам возможность внедрения JavaScript-кода прямо в сообщение. Делается это при помощи ряда кодовых функций, заявленных в API. При выполнении данного кода браузером подключившегося пользователя система может перенаправить его на вредоносный сайт или сервисную страницу, где под видом запроса от администрации Twitter пользователя попросят предоставить личные данные.

В общем виде XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») представляют собой тип уязвимости компьютерной системы и используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве, отмечает CyberSecurity.

Условно XSS можно разделить на активные и пассивные: пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется некое дополнительное действие, которое должен выполнить браузер жертвы (например клик по специально сформированной ссылке). Их также называют первым типом XSS; при активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта. Их также называют вторым типом XSS.

Эксперты говорят, что XSS-уязвимости особенно опасны применительно к социальным сетям, учитывая масштабы популярности последних. В Twitter подтвердили факт получения данных об уязвимости с сказали, что работают над ее исправлением.

Оцените новость:
  • 0 оценок