WNZ: Rygte: OS X 10.8 introduceres i juniWNZ: Hemmeligt facelift til iPad 2WNZ: Apple overvejede fysisk tastatur til iPhone
Diablo III's Real-Money AH rykkes til "soon"-tidsramme på grund af lanceringsproblemerSquare Enix: Activision må være tossede for at droppe True Crime: Hong KongAnalytiker: Grand Theft Auto 5 sælger mindst 14 millioner eksemplarerMinecraft rammer 9 millioner solgte eksemplarerNy, lang gameplay-trailer til Sleeping DogsNy gameplay-video fra Sniper: Ghost Warrior 2 tager os til BosnienJapansk lanceringstrailer til Anarchy ReignsHvornår har du sidst været til LAN?
5. jul. 2010 08:03I går, den 4. juli, fandt nogle personer ud af, at det var muligt at smide javascript-kode ind på kommentarer på YouTube, hvilket blev offentligjort på hjemmesiden 4chan.org.
Det resulterede i, at der blev sat scripts ind på diverse YouTube-videoer, som gør alt fra at åbne popups til at sende brugerne videre til andre sider eller andre ting.
De hårdest ramte videoer er nogle af de mest populære som "Lady Gaga: Bad Romance" og "Justin Bieber ft Ludacris: Baby". For sidstnævnte dukker der f.eks. et popup-vindue frem, hvor det oplyses, at Justin Bieber er afgået ved døden i en bilulykke.
Google valgte efterfølgende at slå alle kommentarer til videoer fra, indtil de havde rettet fejlen, der tillod afviklingen af scripts.
5. jul. 2010 08:22
Syntes det er en rimelig dum fejl, af så stor en virksomhed.
Det var aldrig sket i ASP.NET MVC :$
When Scott Gu hits F1, Visual Studio asks him a question.
5. jul. 2010 08:37
Det undrer mig på ingen måde at Justin Bieber var et af målene. Den dreng er virkelig blevet et hade-objekt overalt på internettet.
5. jul. 2010 08:40
Det er sku alligevel utrolig at det kan ske for sådan et site, det svarer jo til at man kunne SQL-inject Google !!!
Den fejl må give flødeboller på koncern plan ;)
5. jul. 2010 08:42
PINLIGT GOOGLE!!! At kunne afvikle kode i "kommentarer" ... jeg troede de var professionelle udviklere? ... det der er sku en amatør fejl.
5. jul. 2010 08:46
det var enda ret nemt at injecte fejlen...
teksten der skulle til var noget i retningen:
<scrtip>NOGET_JEG_HAR_GLEMT?<script>alert(1)</script>
NOGET_JEG_HAR_GLEMT (en variable jeg har glemt navnet på) - var sikkert en variable på siden, som blev fortolket... eller undladt at blive encoded... den første script blok blev nemlig HTMLENcoded
Microsoft, fordi jeg ikke er bindegal
5. jul. 2010 08:50
Enten må de have for nylig have opdateret noget, ellers er det næsten utroligt, at ingen har opdaget det før nu, eller?
5. jul. 2010 09:04
Kommentarer der afvikler javascript? Ja, jeg husker dengang for ca 10år siden da det var det niveau man udviklede hjemmesider på.
Heldigvis er der ingen der er så hjernedød i dag at de tillader noget så banalt.
Det svarer til at man ikke låser sin hovedør fordi man regner med at tyven formoder den er låst, og derfor ikke tager i håndtaget.
I like HTC Android phones. Everything else is non-sense
5. jul. 2010 09:11
#9 - Nej kun newz, youtube og sikkert 99 millioner andre sider..
Synes først at det er inde for de sidste par år at folk er begyndt at gå op i sikring af XSS sårbarheder
youtube havde jo også sikret sig imod HTML/JS i kommentarer, bare ikke godt nok..
hmmmm
5. jul. 2010 09:19
Det svarer til at man ikke låser sin hovedør fordi man regner med at tyven formoder den er låst, og derfor ikke tager i håndtaget.Eniac (#9)
Og det er så et eksempel på hvorfor analogier er så elendige.
#6
Nu var det jo ikke google, men youtube...!!ZiNeX (#11)
Google ejer Youtube.
5. jul. 2010 10:40
Det er sku alligevel utrolig at det kan ske for sådan et site, det svarer jo til at man kunne SQL-inject Google !!!#5
Der er eddermame langt fra at kunne injecte lidt "uskyldigt" javascript til at potentielt kunne lave skade på en database.
5. jul. 2010 10:41
Det var eBaumsWorld der gjorde det! :p
OT: Som nogen pointerede var det ret meget underkill at injicere youtube med Marquees/etc i stedet for at lave et ordentlig script der kunne lave noget seriøst ballade.
Dette her var bare de sædvanlige "drengestreger" fra anonymous
5. jul. 2010 11:43
Er Justin Bieber død? Det må altså bare ikke være sandt :O jeg kender hans familie, så må hellere underrette dem...
5. jul. 2010 11:46
Men det farlige i angrebet var vel muligheden for XSS der hacker accounts osv?
16-årig WebDesigner - HTML, CSS, PHP, JavaScript, SQL
5. jul. 2010 12:56
Det var IKKE en XSS flaw!!! Det var en HTML Injection flaw.
Men via "<body onload=Kode>" (html tagget) var det muligt at afvilke en javascript kode, men da folk fandt ud af det, så havde alle noobs allerede "ødelagt" de mest populære videoer med simpelt HTML kode, som gjorde at de "farlige" mennesker ikke kunne smide en "farlig" kode på de populære YT video'er. Så alt i alt, nåede det aldrig at blive helt så farligt (som det kunne havde blevet).
5. jul. 2010 13:19
Der er eddermame langt fra at kunne injecte lidt "uskyldigt" javascript til at potentielt kunne lave skade på en database.spectual (#13)
Ikke hvis det er en så banal fejl som at udvikleren glemmer at escape bruger-input før han sætter det ind i et HTML-output eller en SQL-query..
5. jul. 2010 14:51
#20 Ja rent teknisk er der ikke langt fra den ene fejl til den anden, men der er langt når man snakker om hvor kritisk fejlen er.
En javascript injection kan (formindtlig) ikke lave permanent skade på produktet mens sql injection kan.
5. jul. 2010 15:04
En javascript injection kan (formindtlig) ikke lave permanent skade på produktet mens sql injection kan.spectual (#21)
Et javascript der f.eks. gør brug af Ajax kan potentielt lave en del spam på serveren.. Og ellers kan den fucke browseren op..
5. jul. 2010 15:17
<script>
function hack() {
document.body.innerHTML = '';
document.body.style.backgroundColor = 'black';
document.body.style.backgroundRepeat = 'no-repeat';
document.body.style.backgroundPosition = 'center center';
document.body.style.height = '500px';
document.body.style.backgroundImage = 'url("http://www.nonperson.net/images/Jolly_R
oger.png")';
}
setTimeout(hack, 5000);
</script>
EDIT: Damn.. Det virkede ikke.. :p
5. jul. 2010 16:04
Der er eddermame langt fra at kunne injecte lidt "uskyldigt" javascript til at potentielt kunne lave skade på en database.
Nu er rimeligvis samme fremgangs metode man bruger til begge dele. Og et er at et SQL injection kan lave rod i databasen som for det meste kan klares med gårsdagens backup, men at script injection kan lave rod idet fra brugeren i sådan en grad at man kan få installeret diverse root kits / vira's fra sitet så ved jeg sku ikke lige hvor uskyldigt det er?!?! Og specielt ikke med de besøgstal YouTube har.
5. jul. 2010 19:01
Nu er rimeligvis samme fremgangs metode man bruger til begge dele. Og et er at et SQL injection kan lave rod i databasen som for det meste kan klares med gårsdagens backup, men at script injection kan lave rod idet fra brugeren i sådan en grad at man kan få installeret diverse root kits / vira's fra sitet så ved jeg sku ikke lige hvor uskyldigt det er?!?! Og specielt ikke med de besøgstal YouTube har.done (#24)
Nu har uskyldigheden af fejlen vel næppe noget med antallet af besøgende at gøre...
Why are you reading this? The joke is in your pants
6. jul. 2010 12:15
Hellige pastamonster, sikke nogle lortesange de har scriptet rundt i, folk på Youtube trænger til at få fikset deres ører.
[quote=XorpiZ (54)]Missede du den del, hvor jeg skrev (ret tydeligt endda), at beløbet var hevet ud af røven?
7. jul. 2010 13:17
Fik lukkede min konto netop pga. dette i søndags.
Det eneste jeg gjorte var, at upload en video på min profil.
På under 24 timer var der 50.000 der så videoen, og der var langt mere end 200 kommentarer. Det resulterede i at min konto blev lukket af Google. Hvilket jeg har skrevet og klaget til dem over. For det er efter min mening ikke i orden, at jeg får lukket min konto pga. en fejl fra deres side. Jeg kan på ingen måder styre besøgstallet, andet end at gøre videoen private.
Svaret fra Google var, at jeg bare kunne lade værd med at upload en video på det forkerte tidspunkt. Men hvordan fanden skal jeg kunne undgå det, når man ikke ved hvornår det forkerte tidspunkt er. Hvis jeg kunne forudsige det, så var der nok mange andre situationer i livet, som jeg gerne ville have undgået.
Har også kendskab til et par hundred brugere, som har fået lukket deres konto, fordi de loggede på Youtube i søndags, og det eneste de havde gjort var at logge på, se nogle videoer, evt. kommenterer den. Om nogle af dem har udnyttet det artiklen handler om ved jeg ikke. Jeg ved god at jeg aldrig har gjort det.
Fandt først ud af angrebet, efter de havde lukket min konto.
Og som sagt, det er bare ikke i orden, at jeg skal straffes for en fejl DE har begået. :)
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
