Wirusy skryptów krzyżowych (lub robaki)

Wirusy (lub robaki) skryptów cross-site scripting (XSS) replikowane są przez wadliwe serwery aplikacji Web i kod klienta. W 2005 r. Pojawił się exploit dotyczący skryptów krzyżowych obejmujący serwis społecznościowy MySpace oraz błędy w przeglądarce Microsoft Internet Explorer, w których użytkownik o imieniu Samy  zgromadził ponad milion znajomych w ciągu nocy, używając błędu wstawiania JavaScript22. Sąd Najwyższy w Los Angeles skazał autora Samy Kamkara na trzyletni okres próbny i 90 dni pracy w społeczności za jego czyny. W doskonałej recenzji XSS Sherif Koussa napisał:

Skrypty między witrynami to atak wymierzony w użytkowników aplikacji. Prostota skryptów między witrynami jest również powodem, dla którego jest tak potężny. Jeśli aplikacja jest podatna na skrypty między witrynami, programista nie odpowiada już za to, co działa w przeglądarce użytkownika… atakujący. Skrypty między witrynami mogą być używane w atakach takich jak przejęcie uwierzytelnienia i przejęcie sesji. Moc skryptu między witrynami przejawia się jeszcze bardziej w połączeniu z fałszowaniem żądań między witrynami.… Później przytacza przypadek ataku na Twitterze: w 2009 r. 17-letni Mikey Mooney podniósł odpowiedzialność za atakowanie Twittera za pomocą XSS techniki: „… co najmniej cztery osobne warianty oryginalnego robaka StalkDaily.com XSS trafiły na popularną witrynę mikroblogowania Twitter, automatycznie przejmując konta i reklamując witrynę autora, publikując tweety w imieniu właścicieli kont, wykorzystując skrypty między witrynami wady strony ”. Pisarz Dancho Danchev podał więcej szczegółów na temat ataku w swoim artykule ZDNet.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *