Twitter está siendo afectado por otra vulnerabilidad que, aunque no es claro como ha iniciado, está afectando a un gran número de personas en este momento. Consiste en el envío de dos tweets, uno de los cuales empieza con WTF y envía a un enlace con la famosa imagen de goatse. No hacer click en ningun tweet que empiece por "WTF" o "I love sex with goats" PD: Ya se ha solucionado http://status.twitter.com/post/1192873885/malicious-links-on-twitter
#14:
#10#11 Yo lo calificaría de vulnerabilidad. El problema de base es que Twitter permite actualizar el estado de un usuario logado mediante una petición GET (es decir, un enlace acompañado de parámetros, lo que viene detrás de la '?'). De esta forma, es tan sencillo publicar un tweet en la cuenta de un usuario como conseguir que visite una página donde haya un enlace maliciosamente construido, del tipo:
twitter.com/share/update?status=;
El enlace no tiene no que ser visible ni que ser pinchado por el usuario, basta con el que navegador acceda a él (por ejemplo, poniéndolo como origen de una imagen, es decir, en el atributo src de una etiqueta img).
Como el usuario está logado en Twitter la petición pasa todos los controles de seguridad; al fin y al cabo a todas luces parece una petición legítima de un usuario legítimo.
Por este tipo de problemas se recomienda que una aplicación web no permita hacer operaciones sobre los datos del usuario mediante peticiones GET (como en este caso, que permite crear un tweet mediante una petición GET). Las peticiones que modifiquen datos deberían hacerse usando POST (normalmente mediante un formulario).
Como no uso Twitter no sé por que no han escogido la opción POST para la creación de un nuevo tweet... sospecho que debe ser para facilitar la interacción externa (es más fácil construir un enlace con parámetros que una petición POST... aunque TAMPOCO es que sea tan difícil), pero si es por eso diría una pésima decisión de diseño. Lo mismo hay alguna poderosa razón para usar GET para la actualización de estado que yo desconozco, pero no se me ocurre cuál.
En fin, podrán haber deshabilitado ese enlace, pero pueden aparecer un montón más muy fácilmente. Deberían cambiar el método de actualización a POST para estar del todo seguro.
Los de Twitter se están luciendo con sus vulnerabilidades desde el nuevo rediseño de la web principal que pretende sustituir a los clientes de escritorio. Al final los que usamos Tweetdeck y demás no echaremos en falta el rediseño.
#10 en realidad si lo lees no es una vulnerabilidad de twitter ni nada por el estilo. La idea es simple y no es maliciosa, simplemente está hecha para reírse un rato del personal. No creo que sea complicado repetir algo así.
#10#11 Yo lo calificaría de vulnerabilidad. El problema de base es que Twitter permite actualizar el estado de un usuario logado mediante una petición GET (es decir, un enlace acompañado de parámetros, lo que viene detrás de la '?'). De esta forma, es tan sencillo publicar un tweet en la cuenta de un usuario como conseguir que visite una página donde haya un enlace maliciosamente construido, del tipo:
twitter.com/share/update?status=;
El enlace no tiene no que ser visible ni que ser pinchado por el usuario, basta con el que navegador acceda a él (por ejemplo, poniéndolo como origen de una imagen, es decir, en el atributo src de una etiqueta img).
Como el usuario está logado en Twitter la petición pasa todos los controles de seguridad; al fin y al cabo a todas luces parece una petición legítima de un usuario legítimo.
Por este tipo de problemas se recomienda que una aplicación web no permita hacer operaciones sobre los datos del usuario mediante peticiones GET (como en este caso, que permite crear un tweet mediante una petición GET). Las peticiones que modifiquen datos deberían hacerse usando POST (normalmente mediante un formulario).
Como no uso Twitter no sé por que no han escogido la opción POST para la creación de un nuevo tweet... sospecho que debe ser para facilitar la interacción externa (es más fácil construir un enlace con parámetros que una petición POST... aunque TAMPOCO es que sea tan difícil), pero si es por eso diría una pésima decisión de diseño. Lo mismo hay alguna poderosa razón para usar GET para la actualización de estado que yo desconozco, pero no se me ocurre cuál.
En fin, podrán haber deshabilitado ese enlace, pero pueden aparecer un montón más muy fácilmente. Deberían cambiar el método de actualización a POST para estar del todo seguro.
#21 Por supuesto el método POST también se puede trucar, pero es más difícil. No basta con construir un enlace, se tienen que enviar los datos mediante POST lo que implica un poco más de proceso, que requiere JavaScript. Y como tú dices, cuando envías por POST el navegador puede avisarte (no todos lo hacen, eso sí), lo que a un usuario medianamente avispado le haría sospechar.
En el ejemplo de Twitter usan JS, pero realmente no sería necesario.
Comentarios
Parace ser que ya lo han arreglado:
UPDATE Sun Sep 26 18:41:49 UTC 2010: We’ve fixed the exploit and are in the process of removing the offending Tweets.
Mierda, demasiado tarde! Sabía que mi amor por las cabras sería mi perdición.
Los de Twitter se están luciendo con sus vulnerabilidades desde el nuevo rediseño de la web principal que pretende sustituir a los clientes de escritorio. Al final los que usamos Tweetdeck y demás no echaremos en falta el rediseño.
#10 en realidad si lo lees no es una vulnerabilidad de twitter ni nada por el estilo. La idea es simple y no es maliciosa, simplemente está hecha para reírse un rato del personal. No creo que sea complicado repetir algo así.
Y el texto es un descojono
#10 #11 Yo lo calificaría de vulnerabilidad. El problema de base es que Twitter permite actualizar el estado de un usuario logado mediante una petición GET (es decir, un enlace acompañado de parámetros, lo que viene detrás de la '?'). De esta forma, es tan sencillo publicar un tweet en la cuenta de un usuario como conseguir que visite una página donde haya un enlace maliciosamente construido, del tipo:
twitter.com/share/update?status=;
El enlace no tiene no que ser visible ni que ser pinchado por el usuario, basta con el que navegador acceda a él (por ejemplo, poniéndolo como origen de una imagen, es decir, en el atributo src de una etiqueta img).
Como el usuario está logado en Twitter la petición pasa todos los controles de seguridad; al fin y al cabo a todas luces parece una petición legítima de un usuario legítimo.
Por este tipo de problemas se recomienda que una aplicación web no permita hacer operaciones sobre los datos del usuario mediante peticiones GET (como en este caso, que permite crear un tweet mediante una petición GET). Las peticiones que modifiquen datos deberían hacerse usando POST (normalmente mediante un formulario).
Como no uso Twitter no sé por que no han escogido la opción POST para la creación de un nuevo tweet... sospecho que debe ser para facilitar la interacción externa (es más fácil construir un enlace con parámetros que una petición POST... aunque TAMPOCO es que sea tan difícil), pero si es por eso diría una pésima decisión de diseño. Lo mismo hay alguna poderosa razón para usar GET para la actualización de estado que yo desconozco, pero no se me ocurre cuál.
En fin, podrán haber deshabilitado ese enlace, pero pueden aparecer un montón más muy fácilmente. Deberían cambiar el método de actualización a POST para estar del todo seguro.
#14 El POST no salva el asunto. Ejemplo (no se aplica a ningún sitio en concreto):
#21 Por supuesto el método POST también se puede trucar, pero es más difícil. No basta con construir un enlace, se tienen que enviar los datos mediante POST lo que implica un poco más de proceso, que requiere JavaScript. Y como tú dices, cuando envías por POST el navegador puede avisarte (no todos lo hacen, eso sí), lo que a un usuario medianamente avispado le haría sospechar.
En el ejemplo de Twitter usan JS, pero realmente no sería necesario.
#14 sí... quizá tengas razón. Supongo que dejarán hacer peticiones mediante GET para facilitar los programillas con la API de twitter, que hay muchos.
Pero visto así...
Igualmente puedes lanzar de forma medianamente sencilla peticiones POST, ¿no? Aunque quizá complicase el script.
Os suena el queso gruyere?
este es el código del gusano según dicen por ahí: http://news.ycombinator.com/item?id=1729601
------------ 8< ----------- 8
Esto en jisko no pasaba.
#0 Las etiquetas por favor.
#0 Actualiza la entradilla que ya hay más información en el enlace.
Esto huele a 4chan
no! espera! ahora si!
No pienses en un oso blanco
Estos de twitter y facebook tienen una guerra de hackers que no es ni normal.
No me extraña...
Chávez usa Twitter para arengar a sus partidarios en la jornada electoral
Chávez usa Twitter para arengar a sus partidarios ...
abc.esVamos, que todo aquel que pinche en el enlace es que es zoofilico. Se podría sacar una buena estadistica de cuanta gente le va el tema.
Nada es seguro
twiiter quiere llegar a ser facebokk... y nunca lo sera me parece ami
no, ya no , lo han arreglado
ahora si
ahora ya no
WTF: http://tinyurl.com/2wpodmb