Hacking di YouTube – (Forse) Risolto, ecco il codice malevolo!

Brutta giornata quella di oggi per YouTube. È stato infatti bucato tramite un HTML injection. Ora sembra che il danno sia stato tamponato, ma vista la natura non del tutto risolto. In questo momento il codice malevolo infatti non viene accettato come commento.

L’HTML injection consiste nell’inserimento tramite bug di codice html, il linguaggio usato per costruire siti web, malevolo.

YouTube ha redatto una blacklist in cui sono filtrate parole che non possono essere usate a prescindere nei commenti, anche se questi sono lasciati liberi. In questa blacklist sono presenti quei codici html incriminati.

Il codice malevolo in questione, almeno per la maggior parte dei commenti, è

<script>&lt;script&gt;IF_HTML_FUNCTION ?<h1><marquee>in questo caso sarebbe apparso un testo scorrevole<script>

Di base il tag <script> viene rifiutato così come tutti i codici html i quali fanno parte della blacklist. Ma la parte ai lati della parola script, &lt;script&gt, altro non è che l’entità html della parentesi angolare: quindi  la scritta viene interpretata come <script>. Dopo di essa IF_HTML_FUNCTION permette di inserire proprio codice html.

Il codice che viene inserito subito dopo può causare danni o solamente “spaventare” e trarre in inganno l’utente. Infatti se si inserisce un normalissimo testo lampeggiante, l’utente si preoccupa o pensa ad uno dei tanti pesci d’aprile di youtube (anche se fuori stagione), ma se si è in grado di usare del codice javascript si può armeggiare sui cookies dell’utente e scoprire così password o abitudini. Un’altra possibilità è il redirect su siti a pagamento, magari pornografici e a pagamento.

Anche se ora come ora SEMBRA che il problema sia stato risolto, il codice è esposto unicamente a scopo divulgativo, non fatene uso malevolo. Questo non è hacking.

fonte: http://www.armannd.com/

Check Also

Bytesized: Creare il proprio server Plex in pochi secondi

Viaggiate molto? Volete avere la vostra collezione di film sempre a portata di mano? In …