 |
|
 |
|
|
|
Последние Файлы GTA 4 |
Последние Файлы GTA-MP |
Реклама |
|
|
|
|
|
Twitter оказался крайне ненадёжным
| |
| Stels | Дата: Вторник, 21.09.2010, 17:13 | Сообщение # 1 |
|
Группа:
I'm V.I.P.
Сообщений: 3167
Награды: 32
Город: Каменск-Уральский
Репутация: 828
Замечания: 0%
Статус:  | Чирикалка расчирикалась. 
Сегодня в сервисе микроблогов twitter была обнаружена серъёзная дыра - возможность использования JS в веб-интерфейсе. Так один из скриптов за секунды разлетелся по всей сети. Он автоматом ретвитит (отправляет всем подписчикам) сам себя и множество раз обновляет данные, в следствие чего управление блокируется.
Однако, в мобильной версии этот способ не работает, а значит не всё ещё потеряно  Понятно, что дыру быстро залатают, но теперь репутация самого быстрорастущего проекта последнего десятилетия под угрозой, а 21.09.10 навсегда запомнится многим пользователям, не говоря о администрации. Есть ещё статья на буржуйском.
Vesti.ru:
Популярный сервис микроблогов "Твиттер" подвергся вирусной атаке, заражены около полумиллиона аккаунтов. Специалисты подсчитали, что в секунду заражаются 100 пользователей социального сервиса.
"В социальной сети Twitter была обнаружена серьезная XSS-уязвимость. Ее использование началось несколько часов назад с относительно безобидного раскрашивания страниц пользователей в разные цвета. Уязвимость быстро стала использоваться и поражать новых пользователей", - сообщил "Интерфаксу" во вторник главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев.
По его словам, такому "раскрашиванию" подвергся, в частности, аккаунт жены бывшего премьер-министра Великобритании Сары Браун.
Потенциальные возможности данной уязвимости довольно быстро были изучены киберпреступниками, в результате чего появилось минимум два "червя", стремительно распространяющихся в Twitter. Их функционал позволяет злоумышленникам похитить аккаунты доступа к этой социальной сети.
"В настоящий момент администрация Twitter пытается оперативно устранить уязвимости. Возможно, они уже исправлены - у нас уже есть тому некоторые подтверждения. Что касается количества пострадавших, то системы наблюдения "Лаборатории Касперского" фиксировали примерно 100 зараженных пользователей в секунду. На данный момент от уязвимости пострадали около полумиллиона пользователей", - резюмировал эксперт.
Между тем уязвимость "Твиттера" позволяет распространить через него непрошенные рекламные сообщения и ссылки на порноресурсы. Пользователю достаточно только навести "мышку" на ссылку, не нажимая, чтобы она открылась в браузере, и тогда в блоге появляется новая запись, содержащая точно такой же вредоносный код.
источник
 
Полезные ссылки:
GTA:SA спецсборка для SA-MP / GTA:SA-MP ver. 0.3a / GTA:SA-MP ver. 0.2x / Руссификатор геймтекста в GTA:SA(рекомендуется) / Классная игрушка!(Рекомендую!) / Пак русских шрифтов.
Сообщение отредактировал Stels - Вторник, 21.09.2010, 19:54 |
| |
|
|
| Scorpi | Дата: Вторник, 21.09.2010, 17:15 | Сообщение # 2 |
|
Группа:
I'm V.I.P.
Сообщений: 1504
Награды: 33
Репутация: 723
Замечания: 0%
Статус: | айайай, всё переврали вонючки, обычная XSS'ка
баг в парсере ссылок
Сообщение отредактировал Scorpi - Вторник, 21.09.2010, 17:16 |
| |
|
|
| Stels | Дата: Вторник, 21.09.2010, 17:20 | Сообщение # 3 |
|
Группа:
I'm V.I.P.
Сообщений: 3167
Награды: 32
Город: Каменск-Уральский
Репутация: 828
Замечания: 0%
Статус: | Легендарный скрипт выглядит следующим образом:
Code http://t.co/@"onmouseover="document.getElementById('status').value='RT ekozlov';$('.status-update-form').submit();"class="modal-overlay"/
После http://t.co/ и @ можно вставлять JS-код, какой пожелаешь. Фантазия ограничивается на пределе поста - 140 символов.
Полезные ссылки:
GTA:SA спецсборка для SA-MP / GTA:SA-MP ver. 0.3a / GTA:SA-MP ver. 0.2x / Руссификатор геймтекста в GTA:SA(рекомендуется) / Классная игрушка!(Рекомендую!) / Пак русских шрифтов.
|
| |
|
|
| Scorpi | Дата: Вторник, 21.09.2010, 17:38 | Сообщение # 4 |
|
Группа:
I'm V.I.P.
Сообщений: 1504
Награды: 33
Репутация: 723
Замечания: 0%
Статус: | Я себе ленточек разноцветных наделал =D
|
| |
|
|
| Stels | Дата: Вторник, 21.09.2010, 19:55 | Сообщение # 5 |
|
Группа:
I'm V.I.P.
Сообщений: 3167
Награды: 32
Город: Каменск-Уральский
Репутация: 828
Замечания: 0%
Статус: | Дыру заткнули, 'Вести' уже новость разместили.
Полезные ссылки:
GTA:SA спецсборка для SA-MP / GTA:SA-MP ver. 0.3a / GTA:SA-MP ver. 0.2x / Руссификатор геймтекста в GTA:SA(рекомендуется) / Классная игрушка!(Рекомендую!) / Пак русских шрифтов.
|
| |
|
|
| R3mst3R | Дата: Среда, 22.09.2010, 18:52 | Сообщение # 6 |
|
Группа:
Пользователи
Сообщений: 596
Награды: 8
Город: Канарские острова.о.Тенерифе
Репутация: 447
Замечания: 80%
Статус: | Как чувствовал, что не зарегался  
|
| |
|
|
| Stels | Дата: Среда, 22.09.2010, 22:23 | Сообщение # 7 |
|
Группа:
I'm V.I.P.
Сообщений: 3167
Награды: 32
Город: Каменск-Уральский
Репутация: 828
Замечания: 0%
Статус: | Quote (R3mst3R) не зарегался
Ну и зря! На подходе новый интерфейс, а дыры как не бывало.
Полезные ссылки:
GTA:SA спецсборка для SA-MP / GTA:SA-MP ver. 0.3a / GTA:SA-MP ver. 0.2x / Руссификатор геймтекста в GTA:SA(рекомендуется) / Классная игрушка!(Рекомендую!) / Пак русских шрифтов.
|
| |
|
|
| Stels | Дата: Пятница, 24.09.2010, 20:25 | Сообщение # 8 |
|
Группа:
I'm V.I.P.
Сообщений: 3167
Награды: 32
Город: Каменск-Уральский
Репутация: 828
Замечания: 0%
Статус: | Очевидно, что первым, кто стал экспериментировать с дырой, стал японец Масато Кинугава, носящий в Twitter ник RainbowTwtr. Именно он в августе обнаружил уязвимость, и, узнав, что дыра появилась вновь, решил немного поиграться и начал раскрашивать свои твиты в разные цвета.
Невинная забава, поддержанная тысячами других твиттерян, привела к том, что другой пользователь, 17-летний австралиец Пирс Дельфин, опять же, шутки ради, начал вставлять в свои твиты куски кода, замаскированные под веб-ссылки, простое наведение на которые – без клика – приводило к открытию новых окон. Еще один твиттерянен, норвежец Магнус Холм "научил" свои сообщения переотсылаться другими пользователями без их ведома: нужно было просто навести на пост курсор мыши. Пользователь же под ником Peppery внес еще одну модификацию – для произвольного ретвита даже не нужно было наводить мышь на ссылку, это происходило после любого перемещения курсора по сайту. Именно действия Peppery и привели к тому, что ссылка с внедренным в нее кодом, за считанные часы была растиражирована сотнями тысяч твиттерян. И лишь благодаря отсутствию злых намерений у твиттер-хакеров, забава так и осталась забавой. Ни сбора персональных данных, ни внедрения вредоносного кода зафиксировано не было.
©vesti.ru
Полезные ссылки:
GTA:SA спецсборка для SA-MP / GTA:SA-MP ver. 0.3a / GTA:SA-MP ver. 0.2x / Руссификатор геймтекста в GTA:SA(рекомендуется) / Классная игрушка!(Рекомендую!) / Пак русских шрифтов.
Сообщение отредактировал Stels - Пятница, 24.09.2010, 20:26 |
| |
|
|
| Stels | Дата: Пятница, 24.09.2010, 20:54 | Сообщение # 9 |
|
Группа:
I'm V.I.P.
Сообщений: 3167
Награды: 32
Город: Каменск-Уральский
Репутация: 828
Замечания: 0%
Статус: |  Про случай с onMouseOver
21 сен, 2010, вторник. Этим утром, в 2:54 по Тихоокеанскому времени (-7 от Гринвича, -10 от МСК) пришла информация о дыре в безопасности, которая начала использоваться за полчаса до этого. Мы начали работы по её устранению и в 7:00 проблема была решена. Окончательно все следы убрали в 9:15.
Дыра заключалась в использовании уязвимостей XSS, которые дают возможность управление браузером пользователя. Этот косяк мы уже исправляли в прошлом месяце, но после обновления (не связанного с новым Твиттером) проблема почему-то вновь всплыла. Утром кто-то заметил возможность использования JS и начал перекрашивать свои твиты в разные цвета, кто-то выводил своим фолловерам всплывающие окна или отправлял их на другие сайты. Происходило это при наведении курсора на ссылку, отсюда и название - 'onMouseOver'. Следующим этапом был код, который автоматически (без ведома хозяина) ретвитился. Все скрипты были приколами или рекламой, никаких взломов. То-есть нет необходимости менять пароли-явки в своих аккаунтах. В настоящий момент проблема устранена, мы будем стараться не только вовремя устранять все возникающие неполадки, но и делать это заранее. Все эти события не коснулись пользователей мобильной версии сайта и различных клиентов.
[cut=Оригинальный текст] Quote All about the "onMouseOver" incident Tuesday, September 21, 2010 The short story: This morning at 2:54 am PDT Twitter was notified of a security exploit that surfaced about a half hour before that, and we immediately went to work on fixing it. By 7:00 am PDT, the primary issue was solved. And, by 9:15 am PDT, a more minor but related issue tied to hovercards was also fixed. The longer story: The security exploit that caused problems this morning Pacific time was caused by cross-site scripting (XSS). Cross-site scripting is the practice of placing code from an untrusted website into another one. In this case, users submitted javascript code as plain text into a Tweet that could be executed in the browser of another user. We discovered and patched this issue last month. However, a recent site update (unrelated to new Twitter) unknowingly resurfaced it. Early this morning, a user noticed the security hole and took advantage of it on Twitter.com. First, someone created an account that exploited the issue by turning tweets different colors and causing a pop-up box with text to appear when someone hovered over the link in the Tweet. This is why folks are referring to this an “onMouseOver” flaw -- the exploit occurred when someone moused over a link. Other users took this one step further and added code that caused people to retweet the original Tweet without their knowledge. This exploit affected Twitter.com and did not impact our mobile web site or our mobile applications. The vast majority of exploits related to this incident fell under the prank or promotional categories. Users may still see strange retweets in their timelines caused by the exploit. However, we are not aware of any issues related to it that would cause harm to computers or their accounts. And, there is no need to change passwords because user account information was not compromised through this exploit. We’re not only focused on quickly resolving exploits when they surface but also on identifying possible vulnerabilities beforehand. This issue is now resolved. We apologize to those who may have encountered it.
©Twitter blog
Полезные ссылки:
GTA:SA спецсборка для SA-MP / GTA:SA-MP ver. 0.3a / GTA:SA-MP ver. 0.2x / Руссификатор геймтекста в GTA:SA(рекомендуется) / Классная игрушка!(Рекомендую!) / Пак русских шрифтов.
|
| |
|
|
| McFire | Дата: Воскресенье, 26.09.2010, 23:14 | Сообщение # 10 |
|
Новенький
Группа:
Пользователи
Сообщений: 19
Награды: 1
Город: Лос-Анджелес
Репутация: 4
Замечания: 0%
Статус: | даже в таком проекте не все дыры найдены
[b]SA:MP RolePlay сервер:[/b] samp.lg-rp.ru:7777
[b]SA:MP TDM сервер:[/b] samp.lg-rp.ru:7778
[b]MTA TDM сервер:[/b] 212.76.137.5:22004
[b]Идет набор команды портала lg-rp.ru (Live Game RealPlay). Подробнее на портале.[/b]
|
| |
|
|
| Stels | Дата: Воскресенье, 26.09.2010, 23:27 | Сообщение # 11 |
|
Группа:
I'm V.I.P.
Сообщений: 3167
Награды: 32
Город: Каменск-Уральский
Репутация: 828
Замечания: 0%
Статус: | Quote (McFire) даже в таком проекте не все дыры найдены
Как говорится, чем больше шкаф, тем громче он падает.
В крупном проекте много юзверей, и, как следствие, высокий шанс обнаружения подобных недочётов.
Полезные ссылки:
GTA:SA спецсборка для SA-MP / GTA:SA-MP ver. 0.3a / GTA:SA-MP ver. 0.2x / Руссификатор геймтекста в GTA:SA(рекомендуется) / Классная игрушка!(Рекомендую!) / Пак русских шрифтов.
|
| |
|
|
|
 |
|
 | |
| |
|
