Эксперт предупреждает об XSS-уязвимости Твиттера

29.08.2009

Британский эксперт по SEO-оптимизации Девид Нэйлор обнаружил в социальной сети Twitter программную уязвимость, эксплуатация которой ведет к массовому заражению компьютеров посетителей сети злонамеренным программным обеспечением. Кроме того, Нэйлор утверждает, что злоумышленники могут использовать уязвимость через стороннее программное обеспечение, полагающееся на API Twitter.

По словам эксперты, найденная XSS-уязвимость предоставляет хакерам возможность внедрения JavaScript-кода прямо в сообщение. Делается это при помощи ряда кодовых функций, заявленных в API. При выполнении данного кода браузером подключившегося пользователя система может перенаправить его на вредоносный сайт или сервисную страницу, где под видом запроса от администрации Twitter пользователя попросят предоставить личные данные.

В общем видео XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») представляют собой тип уязвимости компьютерной системы и используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве.

Условно XSS можно разделить на активные и пассивные: пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется некое дополнительное действие, которое должен выполнить браузер жертвы (например клик по специально сформированной ссылке). Их также называют первым типом XSS; при активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта. Их также называют вторым типом XSS.

Эксперты говорят, что XSS-уязвимости особенно опасны применительно к социальным сетям, учитывая масштабы популярности последних. В Twitter подтвердили факт получения данных об уязвимости с сказали, что работают над ее исправлением.



Источник: http://www.cybersecurity.ru/crypto/77130.html


Загрузка...
30.08.2009 17:57
Школьные нетбуки: ни минуты в оффлайне
Некоммерческая организация OLPC (One Laptop Per Child), основанная сотрудниками лаборатории "MIT Media Lab" Массачусетского технологического института (США), разработала нетбук XO-1, производит же его тайваньская компания Quanta Computer. Закупкой и распространением мини-лэптопов занимаются правительственные организации. В основе XO-1 лежит процессор AMD Geode, а в качестве операционной системы используется Linux (Fedora) с интерфейсом Sugar, заточенным для решения детьми образовательных задач


30.08.2009 17:00
IBM выпускает новые серверы iDataPlex
Корпорация IBM в пятницу презентовала новое поколение серверов iDataPlex предназначенных для работы с виртуализацией и активным сетевым траффиком. В новых версиях серверов появились новые шасси для стоечных маршрутизаторов, а также проведен ряд работ, позволяющих плотнее размещать оборудование и запускать еще больше виртуализованных операционных систем в пересчете на одно серверное место


30.08.2009 16:00
Google Wave будет интегрирован в офисный набор Google Apps
Google продолжает развивать собственный онлайновый набор программного обеспечения Google Apps. Компания старается представить хоть какие-то новинки для Google Apps каждые две недели, указывая пользователям на то, что разработка живет, является для компании приоритетной и способна составить самую серьезную конкуренцию более именитым грандам, вроде Microsoft Office или IBM Lotus


30.08.2009 14:55
8 причин отказаться от Windows 7
Интернет полнится сообщениями об октябрьском релизе новой версии операционной системы Windows 7 от Microsoft. Есть мнение, что она окажется лучшим продуктом компании. Но наряду с положительными качествами, описанными в публикации «7 причин перейти на Windows 7», у новой системы, как и любой другой, есть свои недостатки.
Перевесят ли минусы Windows 7 ее преимущества?


30.08.2009 08:55
Цветомузыка: новая почта «Яндекса»
«Яндекс» завершил бета-тестирование нового интерфейса своего почтового сервиса. В ближайшие шесть дней все пользователи «Яндекс.Почты» увидят изменения