Web 2.0 Wurm
Ein Typ hat mittels einer CrossSite-Scripting (XSS) Attacke einen Wurm geschaffen, der ihm beim (Teenie-)Portal Myspace.com einen Haufen “friends” beschert, und das ohne deren Zutun. Heise nennt das den ersten “Web 2.0 Wurm”, da er das AJAX-Framework verwendet.
Die ganze Web 2.0 Gschicht is ja ned wirklich neu und eh nur ein weiterer Hype.
Nichtsdestotrotz saubere Arbeit das Würmchen, und es zeigt wenigstens gleich von Anfang an eines der Probleme dieses Javascript-Hypes auf. Populär ist der Typ jetzt jedenfall auch und das nicht nur bei mMyspace.com:
But it wasn’t enough. I needed more. So I went deeper. A Chipotle burrito bol and a few clicks later, anyone who viewed my
profile who wasn’t already on my friends list would inadvertently add me as a friend. Without their permission. I had
conquered myspace. Veni, vidi, vici.
[...]
5 hours later, 6:20 pm: I timidly go to my profile to view the friend requests. 2,503 friends. 917,084 friend requests.
I refresh three seconds later. 918,268. I refresh three seconds later. 919,664 (screenshot below). A few minutes later, I refresh. 1,005,831.
Der Rest steht bei Samy
Technische Erklärung & Code zum Exploit
Ein passendes T-Shirt gibts jedenfalls auch schon.
