Durant quelques heures aujourd’hui nous avons eu le droit à une nouvelle #Twitpocalypse qui a pollué des dizaines de milliers de timeline.

Des dizaines de milliers d’utilisateurs ont été victimes de plusieurs vers se propageant via le réseau social, de façon particulièrement efficace à cause d’une faille XSS. On parle de « ver » par abus de langage, puisqu’il s’agit d’une méthode malveillante qui s’est propagée de façon quasi-autonome (cf. définition).

Conséquence : de nombreux tweets publiés à l’insu des utilisateurs comme en témoigne le tweet de Marc :

Ce code Javascript permet de répliquer un code couleur noir dès qu’il est survolé par la souris (onmouseover en JS) pour les utilisateurs du site Twitter.com. D’autres utilisateurs ont eu le droit à des redirections vers des sites pornos comme en témoigne Sophos :

Une autre faille ne nécessitait même aucun survol pour s’auto-propager, il suffisait de consulter sa timeline comme en témoigne Deherve.

Alors que Twitter compte reconquérir ses utilisateurs qui utilisent une application tierce (TweetDeck, Seesmic, etc.) au lieu de Twitter.com c’est plutôt mal engagé. En effet, seule la version web était vulnérable. La faille exploite du code html+javascript non pris en charge par les clients tiers donc non touchés.

Sur son blog, Twitter assure avoir localisé et corrigé la faille quelques heures après cette découverte. Ce genre de faille reste tout à fait dangereuse puisqu’elle peut paralyser complètement le réseau social utilisé quotidiennement par millions de personnes et de sociétés.

On relèvera au passage le titre du billet précédent sur le blog twitter qui était « A Better Twitter« … à méditer.

Via et via

Article original écrit par Mr Xhark publié sur Blogmotion le 21/09/2010 | 9 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cette extension permet notamment de :

1. Spoofer son referrer (fake referrer)
2. Encoder / décoder une url (url_encode, url_decode)
3. Ajouter ou échapper des caractères (addslashes, stripslashes)
4. Supprimer les espaces
5. Envoyer des données de formulaire (GET/POST)
6. Séparer toutes les variables d’une URL, ligne par ligne et d’accéder à l’URL sans devoir reformer l’URL
7. Convertir une chaine en MD5, SHA1, ROT13, Base64, hexa, etc.
8. Réaliser des opérations, instructions ou commandes SQL : conversion de charset, injection, etc.
9. Et bien d’autres choses à portée de clic !

Une extension pratique et light, à conserver sous le coude pour déboguer vos scripts, encoder, chiffrer… en deux clics.

Télécharger l’extension HackBar

Note : l’utilisation de cette extension nécessite un certain nombre de connaissances, il ne s’agit pas d’une extension capable de réaliser une attaque à votre place, mais elle vous simplifiera la tâche de certaine opérations nécessitant un script PHP par exemple.

Article original écrit par Mr Xhark publié sur Blogmotion le 22/04/2010 | 5 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Voici ce que l’on peut y voir en modifiant simplement certains paramètres GET de l’URL :

Pour le voir par vous même cliquez-ici (si la faille n’a pas encore été corrigée).

A l’époque des liens raccourcis il est très facile de piéger une victime en profitant de cette faille XSS… pourquoi la société à la pomme ne corrige-t-elle pas cette brèche ?

Via un tweet de Mar1e

Article original écrit par Mr Xhark publié sur Blogmotion le 04/11/2009 | 4 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons