Ora che Google ha risolto la vulnerabilità sfruttata da alcuni aggressori, due giorni fa, per pubblicare codice maligno sul celeberrimo sito per la condivisione di video, YouTube, è interessante soffermarsi su alcuni dettagli tecnici.
Le vulnerabilità XSS, delle quali abbiamo parlato in questa pagina ed in questi articoli, sono spesso sottovalutate sebbene siano in grado di rivelarsi particolarmente pericolose. L’attacco sferrato nei confronti di YouTube ha permesso agli aggressori di rubare il contenuto dei cookie legati al servizio di Google ma, soprattutto, di caricare codice JavaScript.
Vulnerabilità XSS di questo tipo consentono ad un malintenzionato di inserire codice HTML, JavaScript o VBScript valido nel corpo della pagina presa di mira. Nel caso di YouTube, come accade spesso, è stato bersagliato il meccanismo per la pubblicazione dei commenti. Se un sito web consente ad un utente di inserire dei contenuti e pubblicarli sul web, è necessario che venga sempre effettuata un’attenta analisi dei dati introdotti: le informazioni debbono essere filtrate o codificate in modo tale che eventuali codici HTML, JavaScript o VBScript non vengano accettati.
L’incidente occorso a YouTube si è verificato perché gli aggressori si sono accorti che il CMS del sito provvedeva a codificare solo la prima tag digitata e non la seconda. Così, inserendo due tag script consecutive (<script><script>
) YouTube provvedeva a visualizzarle come segue: <script><script>
. In questo modo, il codice JavaScript veniva eseguito dal browser di qualunque sistema client che visualizzasse la pagina di YouTube ospitante il commento “maligno”.
Secondo alcune segnalazioni, il codice JavaScript aggiunto tra i commenti di alcune pagine di YouTube provocava la comparsa di messaggi contenenti frasi offensive e l’apertura di siti web a carattere pornografico. Non è chiaro se le pagine visualizzate contenessero anche veri e propri malware.