Богданов Игорь Олегович (bogdan_63) wrote,
Богданов Игорь Олегович
bogdan_63

Categories:

Уязвимость в Twitter позволяет отображать ложные ссылки

Уязвимость в Twitter позволяет злоумышленникам создавать твиты с контентом известных сайтов, но на самом деле ведущие на иные ресурсы, в том числе фишинговые или вредоносные.

Проблему обнаружил исследователь Теренс Иден (Terence Eden), обратив внимание на рекламный твит малоизвестного аккаунта. Твит содержал статью известного СМИ, но, при переходе по указанной ссылке, перенаправлял на совсем другой web-сайт.

При публикации ссылки социальная сеть проверяет наличие специальных метатегов в HTML-коде указанной web-страницы. При наличии данных тегов Twitter на основе этой информации создает мультимедийный блок Twitter Cards, содержащий текст, изображения или видео. Злоумышленники могут манипулировать этим механизмом для создания Twitter Cards на основе метаданных другого сайта.

По словам Идена, проблема возникает, когда страница, указанная в твите, ищет user agent Twitterbot. При обнаружении user agent, бот перенаправялется на другую страницу, в противном случае будет отображаться нормальный контент. При перенаправлении для создания Twitter Card, инструмент Twitter Card Generator будет использовать метаданные той страницы, на которую он был переадресован.

Злоумышленники могут использовать данную уязвимость не только для распространения дезинформации, но и для более опасной деятельности, например, фишинга и вредоносных кампаний. Обнаружить подделанные Twitter Card сложно, поскольку твиты не отображают ссылки, а при наведении указателя мыши на URL-адрес в браузере отображается только его сокращенная версия ссылки.

В настоящее время уязвимость все еще остается неисправленной.
Уязвимость в Twitter позволяет отображать ложные ссылки
Tags: безопасность
Subscribe

Recent Posts from This Journal

promo bogdan_63 декабрь 1, 2021 13:42 963
Buy for 200 tokens
Очень рад, что вы заглянули в мой блог! Надеюсь, вам будут интересны мои записи. Предлагаю для начала посмотреть разделы: Мой сайт СССР Россия Медицина Медицинские байки Юмор Образование История Культура Буду рад всем новым друзьям. Присоединяйтесь, пообщаемся!…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 1 comment