الجمعة، 13 فبراير، 2009

twitter_fedup

تعرضت خدمة Twitter اليوم لهجوم غير ضار عرف باسم Don't Click وهو عبارة رسالة تظهر ضمن رسائلك المرسلة الى Twitter تحتوي على رابط بعنوان Don't Click، عند الضغط عليه يرسل الضحية الى صفحة بيضاء فارغة لا شفرتها خالية تقريبا من آي أكواد باستثناء كود خدمة Analytics من Google فقط لتكوين احصائية بعدد ضحايا هذه الثغرة.

Twitter لمن لا يعرفها وحسب تعريف Wikipedia هي شبكة اجتماعية، وخدمة للتدون القصير..

تسمح للمستخدم بمشاركة رسائل نصية قصيرة مع أصدقائه followers وقراءة الرسائل التي يرسلونها هم بدورهم.. ويطلق Twitter على هذه الرسائل اسم tweets.

هذه الثغرة فى الواقع ثغرة ظريفة جدا وخفيفة الظل أيضا.. فلقد ابتسمت ابتسامة واسعة عريضة عندما علمت بطريقة عملها.. أعتقد أنت أيضا ستبتسم وتضحك مثلي.

فكيف لخدمة بشهرة وحجم Twitter وتحتوي على هذه الثغرة؟؟ التى قد تكون مجرد كسل من أحد المطورين.

انظر الى الرابط التالي وأخبرني أين الخطاء هنا:

"http://twitter.com/home?status=Sunlight Labs post on Don't Click:http://bit.ly/kj1z9"

ببساطة شدية فان عملية الارسال فى Twitter تعتمد على المتغير status فتكون آي قيمة يحتوي عليها هذا المتغير تكون هي الرسالة التي ترغب فى نشرها على Twitter (فى حالة تسجيل دخولك على الخدمة بالطبع)

لكن كان يتوجب على المطور أن يتعب نفسه قليلا ويتأكد أن قيمة المتغير status مرسلة اليه بواسطة POST وليس بواسطة GET كما فى الرابط السابق، وهو من أساسيات تأمين المواقع التى يتعلمها المطور في بدايات عمله.

أحببت فقط أن أشاركم هذه القصة لتذكير أنفسنا بأهمية حماية المدخلات أثناء كتابة الكود.

وشكرا للأخ Hejazi من Twitter على مشاركته لمقال What is this Don't Click business?

2 التعليقات

غير معرف يقول... 25 فبراير، 2009 8:17 ص

تسلم ايدك على الافاده يا اخي
عندي مشكله فى توتير من فتره توقفت عن استقبال
الرسائل الوارده الى وذلك لان شركة زين العبقرية قامت بزيادة رقم على ارقام الهواتف المحموله فى الكويت
قمت بتحديث رقمي فى تويتر وارسلت رساله تفعيل جديده
ولكن لم يحدث شيء تري هل من سبب؟

عمرو فهمي يقول... 25 فبراير، 2009 10:34 ص

تويتير قامت بايقاف خدمة الرسائل الدولية منذ شهر اغسطس 2008
الآلاف حول العالم لا يستطيعون استقبال الرسائل على موبيلاتهم مثلك تماما

إرسال تعليق