Ver Feed RSS

Notícias Sobre TI e Linux

Reddit Atacado por Exploit XSS

Avalie este Post de Blog
O Reddit, famoso agregador de notícias, reportou ter sido atingido por um ataque XSS (Cross Site Scripting), onde uma mensagem de comentário poderia permitir que um usuário logado enviasse mensagens maliciosas, embarcadas com código Javascript. De acordo com a lista de discussão da própria Reddit, um usuário chamado "Empirical" criou um código Javascript para ser inserido em comentários do sistema.


Esse mesmo código, se for copiado e colado na barra de endereços, responderá a todos os comentários em uma página da Reddit. Enquanto isso, um outro usuário chamado "xssfinder" criou uma prova de conceito que poderia executar código Javascript sobre um comentário. Esse usuário, então, decidiu combinar os dois pedaços de código testando-o em um sub-Reddit chamado "proofofhax". A partir deste ponto, o exploit XSS se espalhou por toda Reddit.

A F-Secure reportou que os administradores da Reddit já 'taparam os buracos' que permitiam esses ataques e, diferente de alguns comunicados, o sistema não caiu em nenhum momento. A administração, inclusive, já deletou todos os comentários gerados pelo ataque XSS.

Esses ataques XSS, acontecem de forma sucessiva, e com leves variações entre eles. Claro que os usuários do Firefox, com a extensão NoScript instalada, precisarão verificar se o site da Reddit está na white-list de sites com permissão de execução de javascript.


Saiba Mais:

H-online: http://www.h-online.com/security/Red...--/news/114337

Atualizado 25-10-2009 em 18:09 por tuxdahora (Melhorias na estrutura de apresentação da notícia.)

Categorias
Noticias

Comentários


+ Enviar Comentário




Visite: BR-Linux ·  VivaOLinux ·  Dicas-L