Notícias Sobre TI e Linux
Reddit Atacado por Exploit XSS
por em 28-09-2009 às 12:01 (2954 Visualizações)
O Reddit, famoso agregador de notícias, reportou ter sido atingido por um ataque XSS (Cross Site Scripting), onde uma mensagem de comentário poderia permitir que um usuário logado enviasse mensagens maliciosas, embarcadas com código Javascript. De acordo com a lista de discussão da própria Reddit, um usuário chamado "Empirical" criou um código Javascript para ser inserido em comentários do sistema.
Esse mesmo código, se for copiado e colado na barra de endereços, responderá a todos os comentários em uma página da Reddit. Enquanto isso, um outro usuário chamado "xssfinder" criou uma prova de conceito que poderia executar código Javascript sobre um comentário. Esse usuário, então, decidiu combinar os dois pedaços de código testando-o em um sub-Reddit chamado "proofofhax". A partir deste ponto, o exploit XSS se espalhou por toda Reddit.
A F-Secure reportou que os administradores da Reddit já 'taparam os buracos' que permitiam esses ataques e, diferente de alguns comunicados, o sistema não caiu em nenhum momento. A administração, inclusive, já deletou todos os comentários gerados pelo ataque XSS.
Esses ataques XSS, acontecem de forma sucessiva, e com leves variações entre eles. Claro que os usuários do Firefox, com a extensão NoScript instalada, precisarão verificar se o site da Reddit está na white-list de sites com permissão de execução de javascript.
Saiba Mais:
H-online: http://www.h-online.com/security/Red...--/news/114337
Enviar Post de Blog por EmailComentários
+ Enviar Comentário
Ir para Perfil
Marcar como Lido
