Twitter a risqué gros !
Bon, je ne vais pas m’éterniser, mais il était possible de faire un petit CSRF-viruz made in Twitter suite à l’ancienne vulnérabilité CRSF (elle a été corrigée grâce à la mise en place d’un token). Rappelez-vous, il était possible à la suite d’un appel d’une URL de changer le statut twitter d’un visiteur de son site internet.
A partir de cela, comment un virus pourrait-il fonctionner ?
Eh bien, mettre dans le message posté sur le Twitter de la victime l’adresse du site internet ayant le script permettant l’attaque CSRF dans sa version la plus basique. Ainsi, ceci permettait une récursivité dans le style des virus MSN bien connus. En cliquant sur le lien, on postait l’accès à la page sur notre twitter, et nos followers, feront de même en cliquant et les followers de nos followers feront pareil.
En plus, nous aurions pu faire un générateur de phrases alléchantes en JS attirant nos followers à aller voir cette page piégée…
En bref, beaucoup de perspectives et je n’ai pas parlé d’autres – exécutions d’autres codes malicieux à partir de la page etc. – étaient possibles malheureusement.
Aujourd’hui, la récupération des tokens en Cross-domain grâce à AJAX suite à l’utilisation de XMLHttpRequest et grâce à JSON suite à l’utilisation de la classe JSONscriptRequest est impossible (sur Firefox et certains autres navigateurs acceptant JavaScript). Cependant, il n’est pas rare de voir des chercheurs arrivant à détourner les protections contre les Httprequests en cross-domain établies par les navigateurs.
Donc ce n’est que partie remise…