"myspace - a place for friends" könnte man wohl vereinfacht als Kontaktbörse beschreiben. Jedes Mitglied kann auf seiner Seite ein Profil von sich selbst hinterlegen. Der Benutzer samy fand heraus, daß es möglich ist, ungefiltertes HTML hier einzuschleusen... und schrieb den wohl ersten XSS-Wurm.
Er erstellte ein Skript, mit dem der Betrachter automatisch samy auf die Liste seiner Freunde setzt. Obendrein ergänzt das Skript das Profil des Betrachters wiederum um den Skriptcode.
Auf seiner Webseite kann man die Geschichte nachlesen, wie Samy in weniger als 24h mehr als 1.000.000 Freunde bekam :-) Glücklicherweise war hier nur Spieltrieb Motivation - jemand mit krimineller Energie hätte auf diesem Weg genauso IE-Exploits, etc. integrieren oder die Accounts auf andere Weise mißbrauchen können.
Auf alle Fälle ein mahnendes Beispiel für jede Web-Engineering-Vorlesung...
Samys Reaktion ähnelt der des Autors des ersten Internet-Wurms: Oh wait, it's exponential, isn't it. Shit. (...) I'm canceling my account. This has gotten out of control.
Update: Für alle, die von Samys Geschichte noch nicht genug haben: Google Blogoscope hat ein Interview mit Samy veröffentlicht.
(Anhang: Lokale Kopien der Texte)
Anhang | Größe |
---|---|
samy_tech.html | 10.88 KB |
samy_popular.html | 11.36 KB |