Саморазмножающийся XSS червь затронул миллион профилей на Myspace.com в начале месяца. Эксперты по безопасности заявляют, что это может быть началом новой тенденции атак.
Процесс начался, когда пользователь Myspace.com, под именем "Samy" поместил Jаvasсript код в свой профиль. Когда другие пользователи Myspace.com посмотрели профиль Сэми, скрипт сделал запрос, чтобы добавить Сэми в список друзей пользователя-жертвы, обходя процесс одобрения. Потом скрипт извлекался из уязвимого профиля и копировался в профиль только что зараженного пользователя. Процесс повторялся....
Распространение вируса ограничивает себя данным вебсайтом и может по существу создать ДОС атаку, из-за показательного роста списка друзей нападавшего.
И хотя червь не угрожает другим сайтам, администраторам сайтов всеже рекомендуется закрыть потенциальные XSS баги, поскольку угроза от червей, которые используют сайты сообществ, увеличивается.
Peter Labo

Hackzona