Twitter-accounts wagenwijd open voor hackers
Een cross-site scripting (XSS) lek in Twitter maakte het kinderspel voor aanvallers om andermans account over te nemen. Alleen het sturen van een tweet volstond om toegang tot het account te krijgen, zo ontdekte beveiligingsonderzoeker James Slater. Hij meldde het probleem eerder deze week bij Twitter, maar die zouden het lek in eerste instantie niet begrepen hebben. "Het lijkt erop dat ze een behoorlijk amateuristische poging hebben gedaan om het probleem op te lossen, waarbij ze het gigantische probleem dat ze in het gezicht staart helemaal missen", aldus Slater.
"Twitter heeft één van de meest basale fouten in het programmeren van webapplicaties gemaakt, vertrouw nooit blindelings data die van buiten afkomstig is." De microbloggingdienst verifieerde onvoldoende de input van gebruikers bij het venster voor het toevoegen van third-party clients. Daardoor konden aanvallers JavaScript tags en HTML code aan Tweets toevoegen. "Alleen het zien van zo'n tweet zorgt ervoor dat code binnen je browser draait en jou nadoet en alles kan doen wat je browser doet." Zo is het mogelijk om gebruikers naar andere websites door te sturen, tweets te delen, berichten naar volgers te sturen, volgers te verwijderen of het gehele account in kwestie over te nemen.
Inmiddels heeft Twitter het probleem wel verholpen, zonder dit aan de onderzoeker te melden. Ook zijn de accounts die Slater als demonstratie gebruikte door Twitter geschorst. Een video van het beveiligingsprobleem is nog wel op zijn weblog te vinden, inclusief aanvullende details over het lek.
Zo iets kan je toch ook zelf maken:
$logins = @split("\n", $list);
foreach($logins as $login) {
$data = @split(":", $login);
sendTweet($data[0], $data[0], (!empty($message) ? $message : $argv[1]));
}
function sendTweet($username, $password, $msg)
{
$url = "http://twitter.com/statuses/update.xml";
$curl_handle = curl_init();
curl_setopt($curl_handle, CURLOPT_URL, $url);
Natuurlijk post ik niet het gehele script.
Ik blijf het grappig vinden dat zelfs gigantische websites de user input niet fatsoenlijk sanitizen terwijl het zo bekend is. Dat veel websites vulnerable zijn voor csrf kan ik nog begrijpen maar xss en sql injection zouden nu toch eigenlijk wel verleden tijd moeten zijn =\ Maar goed, anders hebben 12 jarige turkse 'hackers' ook weer teveel vrije tijd natuurlijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
