Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Die beiden bei Secure Sciences Corp angestellten Sicherheitsexperten fanden eine Möglichkeit, wie man User dazu bringt, ohne ihr Wissen Links zu verteilen. Dazu muß nur ein präparierter Link angeklickt werden. Mittels dieser Technik könnte man also massenweise weitere solcher Links verteilen oder den User auf eine Seite mit Malware schicken. Ein ähnliches Problem ergab sich seinerzeit auf MySpace. Damals wurden mittels einer entsprechend modifizierten URL gut eine Million User dem Account von "Samy" als Freunde auf dessen MySpace-Website zugefügt. So ging MySpace sogar kurzzeitig down.
Da Twitter aufgrund der Zeichenbegrenzung in den Nachrichten prädestiniert für Kurz-URLs wie tinyurl und ähnlichen Diensten ist, wird der eigentliche Link zumeist verschleiert. Mittels Browser-Plugins wäre es möglich, diese Links in voller Länge anzuzeigen. Viele User vertrauen jedoch dem Linkverteiler oder nutzen solcherlei Plugins erst gar nicht.
Der Proof-Of-Concept wurde bereits von tinyurl.com wegen Verbreitung von Malware wieder gelöscht. Dabei handelte es sich hierbei nur um einen Dummy-Account, um das Problem zu demonstrieren. Eine bösartige Nutzung wäre allerdings durchaus nicht ausgeschlossen gewesen. Die Programmierer von Twitter haben sich dem Problem angenommen. Es darf jedoch angenommen werden, dass weitere XSS-Lücken und Clickjacking-Angriffe, wie die von Tom Graham und dem sich diese Technik zunutze machenden Wurm vor einigen Wochen, in Kürze folgen. Speziell Clickjacking bleibt trotz der bereits erfolgten Gegenmaßnahmen anscheinend auch weiterhin ein Problem. Dabei wird dem User ein unsichtbarer iFrame mit schädlichem Inhalt untergeschoben, der über einem harmlosen Submit-Button oder speziellen Stellen einer Flash-Applikation platziert wird. (MSX)
(via theregister.co.uk, merci!)
(Bildquelle: balasrini.wordpress.com, thx!)
News Redaktion am Freitag, 20.03.2009 07:56 Uhr
Tags:
twitter
xss
clickjacking
eric wastl
lance james
worm
Julian Wolf am 27.05.2012, 21:08 Uhr
Die amerikanische Fluglinie „American Airlines“ muss sich aktuell gegen Vorwürfe wehren, das Unternehmen benachteilige Kunden mit bestimmten moralischen Ansichten. Weil eine Passagierin auf ihrem T-Shirt den Spruch „If I wanted the government in my womb, I’d f*ck a senator“ trug, konnte sie nicht an Bord ihres Anschlussfliegers.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
