Tweet

0

Juli is maand van de Twitter-bugs

Onderzoeker wil aandacht voor lekke webdiensten

Het deed in 2006 en 2007 veel stof opwaaien: beveiligingsonderzoekers die in een maand tijd zo veel mogelijk lekken probeerden boven te halen in een specifiek programma. De 'maanden van' de browser-, kernel-, Apple-, Myspace- en Activex-bugs liggen nog vers in het geheugen.

Wat is een betere manier om die traditie anno 2009 voort te zetten dan de pijlen te richten op het alomtegenwoordige Twitter? De 'Maand van de Twitter-bugs' is een initiatief van onderzoeker Aviv Raff.

Lekken
Hij heeft al eerder gewaarschuwd dat de Twitter-API rijp is voor misbruik. Volgens hem zijn er cross-site scripting- (XSS) en cross-site request forgery (CSRF) -lekken, die Twitter-gebruikers blootstellen aan het risico van kwaadaardige aanvallen door hackers.

"Iedere dag zal ik een nieuwe kwetsbaarheid in een Twitter-dienst van een derde partij publiceren op Twitpwn.com", aldus Raff. "Aangezien deze kwetsbaarheden kunnen worden misbruikt om een Twitter-worm te creëren, zal ik de externe dienstenaanbieder en Twitter ten minste 24 uur de tijd geven voordat ik publiceer."

Web 2.0
Raff wil hiermee aandacht vragen voor de zwakte in de Twitter-API. Die stelt de populaire dienst bloot aan wormaanvallen, zodra een Twitter-dienst van een derde partij (zoals Twitpic) een kwetsbaarheid bevat.

Hij merkt op dat hij iedere willekeurige sociale web 2.0-dienst had kunnen uitkiezen voor dit project. "Ik hoop dat Twitter en andere web 2.0-API-aanbieders nauw met hun API-consumenten gaan samenwerken om veiligere producten te ontwikkelen."

Met een bijdrage van Ryan Naraine 
 

bron: ZDNet