MySpace hack sa jednostavnom HTML/CSS tehnikom

10.11.2007 - 01:05

Način napada je skoro godinu dana poznat ali je tek juče dobio veći publicitet sa strane Exploit Prevention Labs-a koji su uz fanfare postavili video sa prikazom hacka na Youtube. Ispostavilo se da novost nema preteran ekskluzivitet i Roger Thompson se u ime EPL-a danas javno izvinio Chris Boydu iz Sunbelt Software-a. Naime, Alex Eckelberry je već ranije prikazao način napada na SunbeltBLOGu među opisima drugih MySpace hackova.

O čemu se u stvari radi? Ideja je veoma kreativna ali ujednom izuzetno jednostavna. U navedenom slučaju se radilo o profilu Alicie Keys, gde su uz pomoć CSS-a pozicionirali "a" HTML tag sa linkom preko cele strane kao gornji "nevidljivi layer" (style="position:absolute; left: 0; top: 0; height:8000px; width:1000px;"). Osoba stekne utisak da će u stvari da klikne na video ili poslušati pesmu, a u stvari se redirektuje na exploit koji će pokušati da postavi malware u sistem - neveštom korisniku ni to neće biti sumnjivo da mora nešto da instalira na računar pošto je MySpace profil pun medijskog sadržaja i u principu nije nelogično da iz Windowsa fali plugin ili program za puštanje istog.