Bug Bounty on live environment Find Clickjacking X Frame Options header season #7 POC
Twitter Nation: O ataque de clickjacking que assola o Twitter nesta quinta-feira foi corrigido.
Twitter Clickjacking: "Não clique"
O clickjacking do Twitter não era realmente uma grande ameaça, parece, mas um aborrecimento menor. Eis o que aconteceu: alguém postaria uma mensagem dizendo "não clique" junto com um URL mascarado. Se você clicasse no link, a mesma mensagem seria automaticamente postada na sua conta do Twitter. Um de seus amigos, então, acabaria vendo sua mensagem, ficando curioso, e clicando nela - criando assim um tipo de efeito viral.
"Não clique" - boa e velha psicologia reversa melhor. Acho que as coisas realmente funcionam. (Nota para si: Comece a distribuir o número de telefone para senhoras atraentes com uma nota dizendo: "Não ligue.")
A verdade por trás do tweet
Então o que realmente estava acontecendo aqui? Os gatos legais dos Laboratórios Sunlight dizem que era tudo sobre os iframes. "O que esse 'vírus' faz é criar um iframe da página, ocultá-lo, e quando você clica nesse botão e está logado no Twitter, ele faz você postar essa mensagem (mesmo que você não a veja), "O diretor da Sunlight Labs, Clay Johnson, explica em seu blog. "Não há um pouco de javascript envolvido", diz ele.
Você pode ver o código completo do bug traduzido para o inglês aqui. Claro, tudo que você pode realmente fazer é lê-lo. Não funcionará mais.
Twitter Fixers
A equipe do Twitter conseguiu interromper o bug em questão de horas. "A coisa do 'não clicar' + link é uma invasão 'clickjacking'", escreveu Evan Williams, CEO do Twitter, por volta das 13h30. ET. "Não clique nele. Corrigir indo agora", instruiu seu tweet.
Dentro de instantes, o Engenheiro de Operações John Adams - mais conhecido pelos seguidores como "Netik", seu Twitter - anunciou que a falha foi corrigida.
"Corrigimos o ataque de clickjacking 'não clique' há 10 minutos", observou ele. "O problema deve ter desaparecido".
O blog oficial do Twitter agora fornece mais detalhes:
"Felizmente, o dano ficou restrito ao constante lançamento do link, mas levamos ataques maliciosos aos usuários do Twitter muito a sério e esta manhã nós enviamos uma atualização que bloqueia essa técnica de clickjacking. "
Whew. Pelo menos podemos ficar tranquilos sabendo que Hammer ficou a salvo dessa coisa. Esse cara é legal demais para clicar.
(Desculpe. Não pude resistir.)
Código de ataque liberado para novo ataque DNS
O código de ataque foi liberado por uma grande falha no software DNS da Internet.
Microsoft bate Google Chrome com ataque de ataque 'Scroogled'
Microsoft está chamando a mudança do Google para um sistema pay-to-play para listagens em O Google Shopping promove seu próprio mecanismo de pesquisa do Bing.
Bitcoin exchange A maior bolsa de bitcoin disse nesta quinta-feira que está lutando contra um intenso ataque de negação de serviço distribuído que acredita ter a intenção de manipular o preço da moeda virtual, que tem visto oscilações de preço voláteis no passado. A maior bolsa de bitcoin informou nesta quinta-feira que está lutando contra um intenso ataque de negação de serviço distribuído que acredita ter a intenção de manipular o preço da moeda virtual, que tem visto oscilações de preço volát
Mt A Gox, que tem sede em Tóquio, disse que os ataques já causaram os piores momentos de queda e que as páginas de erro foram exibidas aos traders, de acordo com um post no Facebook. Por seu próprio cálculo, 80% dos negócios de bitcoin em dólares americanos são executados no Monte. A plataforma de negociação da Gox e 70% de todos os negócios em outras moedas.