DRON-ANARCHY
22.10.2005, 18:59
Саморазмножающийся XSS червь затронул миллион профилей на Myspace.com в начале месяца. Эксперты по безопасности заявляют, что это может быть началом новой тенденции атак.
Процесс начался, когда пользователь Myspace.com, под именем "Samy" поместил Jаvasсript код в свой профиль. Когда другие пользователи Myspace.com посмотрели профиль Сэми, скрипт сделал запрос, чтобы добавить Сэми в список друзей пользователя-жертвы, обходя процесс одобрения. Потом скрипт извлекался из уязвимого профиля и копировался в профиль только что зараженного пользователя. Процесс повторялся....
Распространение вируса ограничивает себя данным вебсайтом и может по существу создать ДОС атаку, из-за показательного роста списка друзей нападавшего.
И хотя червь не угрожает другим сайтам, администраторам сайтов всеже рекомендуется закрыть потенциальные XSS баги, поскольку угроза от червей, которые используют сайты сообществ, увеличивается.
Peter Labo
Hackzona
Процесс начался, когда пользователь Myspace.com, под именем "Samy" поместил Jаvasсript код в свой профиль. Когда другие пользователи Myspace.com посмотрели профиль Сэми, скрипт сделал запрос, чтобы добавить Сэми в список друзей пользователя-жертвы, обходя процесс одобрения. Потом скрипт извлекался из уязвимого профиля и копировался в профиль только что зараженного пользователя. Процесс повторялся....
Распространение вируса ограничивает себя данным вебсайтом и может по существу создать ДОС атаку, из-за показательного роста списка друзей нападавшего.
И хотя червь не угрожает другим сайтам, администраторам сайтов всеже рекомендуется закрыть потенциальные XSS баги, поскольку угроза от червей, которые используют сайты сообществ, увеличивается.
Peter Labo
Hackzona