Yahoo snoert ontdekker XSS-gat de mond

gatenkaas

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (11)
Aanbevelen

Gepubliceerd: Maandag 16 mei 2011
Auteur: Uhro van der Pluijm

Een hacker heeft een gat geschoten in Yahoo Pipes. Met behulp van een XSS-hack heeft de man een worm geschreven die sessies kan stelen en hele adresboekken besmet. Yahoo probeert hem te censureren.

De Roemeense black hat hacker Paxnwo heeft een XSS-gat in Yahoo! Pipes gevonden. Hij demonstreerde het beveiligingsprobleem in de tool die gebruikt wordt voor mash-ups op Yahoo's eigen OpenHack conferentie in Boekarest. De hacker vond het gat naar eigen zeggen in een pauze van tien minuten.

Hack verspreidt zich via mail

Hij had daarna nog zes uur nodig om samen met zijn teamgenoot Cheater de XSS-hack in iedere browser te laten werken en vervolgens vijftien uur om zijn kwaadaardige code te schrijven. De Franse blogger Korbren legt uit dat hij daarbij een gebruiker een link van zijn kwaadaardige Pipes-site toestuurt waarin met XSS weer een link wordt gelegd naar een URL van de site van Paxnwo.

De pagina achter die link steelt het cookie en de sessie van de gebruiker. Vervolgens is het mogelijk om te controleren of de oorspronkelijke gebruiker online is. Daarna kan de hacker zich voordoen als de gehackte gebruiker en diens e-mail lezen. Maar met name kan hij iedereen in het adresboek een e-mail met de link sturen, zodat de hack zich verder kan verspreiden.

'Presentatie gecensureerd'

De twee Roemenen presenteerden hun hack een dag later aan het publiek en de jury. Zij hadden daarvoor 90 seconden en 30 seconden extra als het erg interessant was. Volgens de hacker werd zijn internetverbinding echter na 70 seconden verbroken. Juist toen de Roemenen over de worm praatten.

De hackers werden volgens Paxnwo verder gecensureerd, toen in de negentigste seconde de beamer en microfoon direct werden uitgeschakeld. De Roemeen stelt zelf dat het publiek toen al erg enthousiast was over zijn hack. Volgens de hacker zou de jury zich erg aangevallen hebben gevoeld.

Mogelijk vandaag gedicht

Paxnwo en Cheater werden na de presentatie overigens wel op het matje geroepen bij de jury. De hackers deden toen de hele kwetsbaareid uit de doeken. Paxnow geeft de exploit overigens niet vrij. Hij heeft de exploit alleen geschreven omdat hij hoopte op een podiumplaats in de programmeerwedstrijd. Die plek kree g hij niet, hij kon niet eens rekenen op een eervolle vermelding.

Volgens Paxnwo deert dat echter niet, omdat hij Yahoo! 'genaaid' heeft in haar eigen hackwedstrijd. Op Twitter laat hij weten dat het gat misschien vandaag al gedicht wordt. Maar hij zou intussen alweer een ander XSS-probleem in Yahoo! Pipes hebben gevonden.

Relevante whitepapers

Alle whitepapers >>
  • Categorieën:
  • Beveiliging

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Overheid bespaart met cloud computingDiscussie over cloud-beleid overheid. Whitepaper over kosten, veiligheid en beschikbaarheid.
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)