Хакер #305. Многошаговые SQL-инъекции
Месячник багов на Twitter (Month Of Twitter Bugs) начался в прошлый четверг с
отчета об уязвимости в сервисе укорачивания URL-адресов, часто используемом
вместе с Twitter.
На сайте bit.ly было обнаружено четыре уязвимости, связанные с межсайтовым
скриптингом. Потенциальная опасность багов возрастает в связи с тем, что bit.ly
встроен в один из самых распространенных клиентов для работы с Twitter под
названием TweetDeck. К счастью, три из четырех багов были закрыты еще до
публикации, а последний (в HootSuite) – спустя несколько часов после того, как
сообщение о нем появилось на сайте
Twitpwn, выступающем в качестве домашней страницы месячника багов.
Серия подобных месячников стартовала три года тому назад, когда на протяжении
четырех недель каждый день рассказывалось о каком-нибудь баге в браузере. Идею,
принадлежащую создателю Metasploit, подхватил исследователь Авив Рафф, который
объявил июль месяцем багов Twitter. При этом он подчеркнул, что идея легко
применима и к другим сервисам Web 2.0.
Рафф призывает сторонних разработчиков сотрудничать с Twitter в деле создания
более безопасных утилит. Мы же отметим, что в последние месяцы Twitter
подвергался атакам неоднократно, причем многие из таких атак были так или иначе
связаны с безопасностью паролей, после чего пользователям было рекомендовано
использовать более безопасные пароли.