Home > BLOG > CURIOSITA' > Hacking di YouTube – (Forse) Risolto, ecco il codice malevolo!

Hacking di YouTube – (Forse) Risolto, ecco il codice malevolo!

Brutta giornata quella di oggi per YouTube. È stato infatti bucato tramite un HTML injection. Ora sembra che il danno sia stato tamponato, ma vista la natura non del tutto risolto. In questo momento il codice malevolo infatti non viene accettato come commento.

L’HTML injection consiste nell’inserimento tramite bug di codice html, il linguaggio usato per costruire siti web, malevolo.

YouTube ha redatto una blacklist in cui sono filtrate parole che non possono essere usate a prescindere nei commenti, anche se questi sono lasciati liberi. In questa blacklist sono presenti quei codici html incriminati.

Il codice malevolo in questione, almeno per la maggior parte dei commenti, è

<script>&lt;script&gt;IF_HTML_FUNCTION ?<h1><marquee>in questo caso sarebbe apparso un testo scorrevole<script>

Di base il tag <script> viene rifiutato così come tutti i codici html i quali fanno parte della blacklist. Ma la parte ai lati della parola script, &lt;script&gt, altro non è che l’entità html della parentesi angolare: quindi  la scritta viene interpretata come <script>. Dopo di essa IF_HTML_FUNCTION permette di inserire proprio codice html.

Il codice che viene inserito subito dopo può causare danni o solamente “spaventare” e trarre in inganno l’utente. Infatti se si inserisce un normalissimo testo lampeggiante, l’utente si preoccupa o pensa ad uno dei tanti pesci d’aprile di youtube (anche se fuori stagione), ma se si è in grado di usare del codice javascript si può armeggiare sui cookies dell’utente e scoprire così password o abitudini. Un’altra possibilità è il redirect su siti a pagamento, magari pornografici e a pagamento.

Anche se ora come ora SEMBRA che il problema sia stato risolto, il codice è esposto unicamente a scopo divulgativo, non fatene uso malevolo. Questo non è hacking.

fonte: http://www.armannd.com/

Termini di ricerca frequenti:

  • Pingback: Hackerato YouTube! - Informaniaci()

  • ciao!

    più che un blacklist con le parole non ammesse…sarebbe stata mooolto più sicura una whitelist con le cose ammesse….questa mi sembra molto una soluzione “microsoft-style”…

  • strano

    Inoltre non mi sembra molto appropriata come misura di sicurezza un qualcosa basato su di una lista, quando il sito in questione è YouTube.

  • daniele

    Pazzo… mettere in black-list tutti gli script e l'HTML è già un lavoro colossale e poco preciso… se mettessero in white-list TUTTE LE PAROLE IN TUTTE LE LINGUE DEL MONDO, rendere impossibile commentare… e ne andrebbero di mezzo gli utenti not-english.

    le misure di sicurezza su black-list sono affidabilissime… il problema qua è che google ha fatto un'errore di ingenuità, non considerando i caratteri speciali.

  • Pingback: God does not exist | V3_labs()

  • Asd

    Fate tutti i capiscioni col senno di poi, capiscioni con una white list non passerebbe sicuramente LOL

  • Dsfdf

    naturalmente quando si implementa una white list non c'è bisogno di scrivere a mano tutte le parole ammesse…ci sono sistemi molto più agevoli…

  • Tryke

    <script><script>IF_HTML_FUNCTION ?

    <marquee>in questo caso sarebbe apparso un testo scorrevole<script></script>