22.09.2015, 10:33
Mam wrażenie, że Imgur zaskoczył i mnie, choć nie wiem czy to właśnie z powodu jak niżej - jakby nieco zmienił funkcjonalność i opcje po załadowaniu obrazka. Ale do rzeczy - cytaty z Niebezpiecznika, który opisał problem
Dyskusja i analizy na reddit.com
Cytat:Odkryto dziwne zachowanie popularnego hostingu obrazków imgur.com. Podczas ładowania niektórych plików graficznych, oprócz obrazków użytkownikom serwowane były dodatkowe skrypty, które powodowały ciekawe anomalie.
Botnet Imgur i atak na 4/8 chany
Sam incydent wciąż jest analizowany — póki co odkryto próby wykorzystania imgur do “DDoS-owania” 4chana i 8chana poprzez ładowanie setek zasobów z ich serwerów.
Ale ładowany z serwerów imgur kod JavaScript ma większe możliwości. Tworzy iframe oraz serwuje plik flash z 8chana. Ponieważ użytkownicy imgur są przyzywczajeni do obecności flasha na stronie (uploader plików) prośba o zgodę na uruchomienie flasha nie wydaje się podejrzana. Załadowany flash z kolei serwuje kolejne skrypty JavaScript, które przechowywane są w localstorage przeglądarki. Dzięki temu, przeglądarka dopinana jest do “botnetu” i periodycznie odpytuje serwer 8chan.pw o instrukcje. Niestety, kiedy o ataku zrobiło się głośno, ruch ustał i nie da się określić do czego dokładnie botnet mógł być wykorzystywany (poza DDoS-em).
(...)
Sprawa jest jednak poważniejsza i nie dotyczy tylko internautów wchodzących na 4/8chany. Ponieważ do przeglądarek internautów poprzez imgur wstrzykiwać można złośliwy kod JavaScript, to w zasadzie na użytkowniku każdej strony, z której ładowane są obrazki z imgur (która odsyła na imgur), można wykonać atak XSS (w domenie imgur), a w konsekwencji podpiąć do “botnetu” (przeglądarka będzie periodycznie pobierała instrukcje i wykonywała np. ataki DDoS). Inne skutki ataku XSS to m.in. kradzież informacji poprzez wyświetlenie fałszywego okna z prośbą o podanie danych albo załadowanie exploita na przeglądarkę lub jej wtyczkę (zwłaszcza Flasha) i w konsekwencji przejęcie całkowitej kontroli nad komputerem użytkownika.
[Aby zobaczyć linki, zarejestruj się tutaj]
Dyskusja i analizy na reddit.com
[Aby zobaczyć linki, zarejestruj się tutaj]