Un ver pour se faire des millions d'amis sur MySpace
Ho, juste un doigt merci...
MySpace.com, site de ... "cybersocialisation" et cinquième plus gros site du Web, vient de faire face à un membre un peu trop cybersocialisé... Le petit malin s'est fait plus d'un million d'amis en 24 heures, devenant alors un des rares membres estampillés « héros » sur leur profil.
Le SuperGeek du jour s'appelle Samy, il avait 73 amis sur MySpace avant de devenir une vraie star. Il a trouvé comment injecter un code HTML dans son profil, lui permettant ainsi de lancer un code javascript. Le problème était que le mot « javascript » est automatiquement supprimé par MySpace.com, pour éviter justement ce genre de problème.
C'était sans compter sur ce bon vieux Internet Explorer. Le navigateur a permis à Samy de couper le mot javascript sur deux lignes, remettant alors son code de script en page dans un style « cascade » ligne après ligne. Et c'est parti. Dès qu'un visiteur visitait son profil, le script invitait automatiquement Samy dans la liste d'amis du visiteur.
Samy a ensuite trouvé le moyen d'insérer le script directement dans le propre profil des curieux qui visitaient sa fiche de membre. Et voilà comment un ver de réplication est créé par une méthode baptisée Cross-Site Scripting (XSS). « Si 5 personnes visitaient mon profil, c'est nouveaux amis. Si 5 personnes viennent visiter le profil de chacun de mes 5 visiteurs, c'est 25 nouveaux amis » explique le hacker, et ainsi de suite.
Très vite, Samy a eu des centaines d'amis, puis des milliers, puis des centaines de milliers. Le décompte s'est stoppé à plus d'un million d'amis, alors que chaque seconde, 1000 nouveaux amis s'ajoutaient dans la liste de SuperGeek. Il est alors devenu « héros » sur MySpace.com, et ce, sans sauver le monde.
Son compte a vite été fermé par le site, aucun responsable ne l'a contacté, mais le hacker craint d'éventuelles poursuites. Sur un site récemment racheté par News Corp. pour 580 millions de dollars, on ne prend plus tellement à la légère ce genre de gag. Ainsi, SuperGeek précise qu'il n'avait aucune mauvaise intention, il voulait « faire rire [ses] amis » qui l'auraient vu en héros sur MySpace.
Le problème semble toutefois sérieux, les experts en sécurité se sont penchés sur ce ver, qui prouve l'importance du Cross Scripting dans les vulnérabilités de 90 % des sites web selon eux. De son côté, Samy explique en revanche que c'est Internet Explorer qui a permis l'exécution du code, alors que les filtres de MySpace sont plutôt efficaces dans ce domaine.
Le SuperGeek du jour s'appelle Samy, il avait 73 amis sur MySpace avant de devenir une vraie star. Il a trouvé comment injecter un code HTML dans son profil, lui permettant ainsi de lancer un code javascript. Le problème était que le mot « javascript » est automatiquement supprimé par MySpace.com, pour éviter justement ce genre de problème.
C'était sans compter sur ce bon vieux Internet Explorer. Le navigateur a permis à Samy de couper le mot javascript sur deux lignes, remettant alors son code de script en page dans un style « cascade » ligne après ligne. Et c'est parti. Dès qu'un visiteur visitait son profil, le script invitait automatiquement Samy dans la liste d'amis du visiteur.
Samy a ensuite trouvé le moyen d'insérer le script directement dans le propre profil des curieux qui visitaient sa fiche de membre. Et voilà comment un ver de réplication est créé par une méthode baptisée Cross-Site Scripting (XSS). « Si 5 personnes visitaient mon profil, c'est nouveaux amis. Si 5 personnes viennent visiter le profil de chacun de mes 5 visiteurs, c'est 25 nouveaux amis » explique le hacker, et ainsi de suite.
Très vite, Samy a eu des centaines d'amis, puis des milliers, puis des centaines de milliers. Le décompte s'est stoppé à plus d'un million d'amis, alors que chaque seconde, 1000 nouveaux amis s'ajoutaient dans la liste de SuperGeek. Il est alors devenu « héros » sur MySpace.com, et ce, sans sauver le monde.
Son compte a vite été fermé par le site, aucun responsable ne l'a contacté, mais le hacker craint d'éventuelles poursuites. Sur un site récemment racheté par News Corp. pour 580 millions de dollars, on ne prend plus tellement à la légère ce genre de gag. Ainsi, SuperGeek précise qu'il n'avait aucune mauvaise intention, il voulait « faire rire [ses] amis » qui l'auraient vu en héros sur MySpace.
Le problème semble toutefois sérieux, les experts en sécurité se sont penchés sur ce ver, qui prouve l'importance du Cross Scripting dans les vulnérabilités de 90 % des sites web selon eux. De son côté, Samy explique en revanche que c'est Internet Explorer qui a permis l'exécution du code, alors que les filtres de MySpace sont plutôt efficaces dans ce domaine.
Source :
Betanews
Bruno Cormier
le 14 octobre 2005 à 11:42
(18 297
lectures)
Actualités et brèves relatives
- 10 / 10 / 2005 : Sober, un ver pas classe
- 07 / 10 / 2005 : Microsoft : nouveau bulletin de sécurité mardi 11 octobre
- 19 / 09 / 2005 : P2load.A, un ver à l'honneur de Google
- 31 / 08 / 2005 : Prendre un ver avec un Creative Zen Neeon ?
- 30 / 08 / 2005 : Nouveaux suspects dans l'affaire du ver Zotob
- 25 / 08 / 2005 : Un ver pour MSN Messenger qui parle dans votre langue
- 24 / 08 / 2005 : Zotob s'attaque aussi à Windows XP SP1
- 19 / 08 / 2005 : Les dégâts de Zotob dans le monde professionnel
- 18 / 08 / 2005 : Microsoft fournit un outil pour se débarasser de Zotob
