Британский эксперт по SEO-оптимизации Девид Нэйлор обнаружил в социальной сети Twitter программную уязвимость, эксплуатация которой ведет к массовому заражению компьютеров посетителей сети злонамеренным программным обеспечением. Кроме того, Нэйлор утверждает, что злоумышленники могут использовать уязвимость через стороннее программное обеспечение, полагающееся на API Twitter.
По словам эксперты, найденная XSS-уязвимость предоставляет хакерам возможность внедрения javascript-кода прямо в сообщение. Делается это при помощи ряда кодовых функций, заявленных в API. При выполнении данного кода браузером подключившегося пользователя система может перенаправить его на вредоносный сайт или сервисную страницу, где под видом запроса от администрации Twitter пользователя попросят предоставить личные данные.
В общем видео XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») представляют собой тип уязвимости компьютерной системы и используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве.
Условно XSS можно разделить на активные и пассивные: пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется некое дополнительное действие, которое должен выполнить браузер жертвы (например клик по специально сформированной ссылке). Их также называют первым типом XSS; при активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта. Их также называют вторым типом XSS.
Эксперты говорят, что XSS-уязвимости особенно опасны применительно к социальным сетям, учитывая масштабы популярности последних. В Twitter подтвердили факт получения данных об уязвимости с сказали, что работают над ее исправлением.
Источник: CyberSecurity
|
