Visita Orebla.it su Facebook Segui Orebla.it su Twitter Vedi i video su YouTube di Orebla.it Unisciti alle cerchie di Orebla.it
DOVE TI TROVI: \\ Home Page\news\Bug critico per Myspace.com, exploit all'"XSS"
Bug critico per Myspace.com, exploit all'"XSS"


Un utente dell'imponente servizio di social networking ha creato appositamente un exploit capace di fare espandere la propria buddy list tramite javascript.

L'utente "Samy" (sarebbe questo il suo nick) Ŕ stato capace di sfruttare un bug XSS, attraverso il quale ha potuto inserire del codice javascript per ampliare la propria lista dell'amicizie, arrivando ad 1 milioni di amici in 24 ore.

Diciamo che la cosa Ŕ stata possibile sommando diverse vulnerabilitÓ, prima fra tutte la non validazione dell'input da parte di Myspace, che eliminava solo la parola "javascript" senza controllare il resto. Dopo di che Ŕ intervenuto un bug presente in diversi browser relativo a XMLHTTPRequest.

Con l'ausilio di Google Maps Ŕ riuscito a creare un codice che ha poi inserito all'interno del proprio profilo, ad ogni visitatore si aggiungevano 5 "amici" ma questo metodo stava aumentando la buddy list in modo pi¨ che proporzionale.

Diciamo che la vulnerabilitÓ non sarebbe stata possibile se alcuni web browser non avrebbero avuto qualche falla, ma le vulnerabilitÓ di XSS nei siti sono una delle principali vie di attacco.

Il tutto si Ŕ risolto con un periodo di down-time per il sito e con la cancellazione di tutti i codici javascript inseriti in automatico e con il ban dell'utente "Samy".

 

Autore articolo: Orebla

Commenti:

Nessun Commento a questa News...

I commenti per queste news sono disabilitati.






Articoli utili:
Jailbreak iOS 10: tweaks compatibili

Recensione iPhone 6

IPhone 7 uscito, novita, prezzi