NaFigator Sep 21 2010 at 14:28

XSS: Rainbow Twitter Released!

1 min

689

Information Security*

+47

Comments 39

zhomart Sep 21 2010 at 14:30

Второй глюк твиттера (13.43 Kb, 540x376)

Ещё пруфы. Весело.

NaFigator Sep 21 2010 at 14:32

И ладно бы радуга, а там уже баловство с position:absolute; пошло — выглядит уже не так радужно.

PeterQ Sep 21 2010 at 15:09

Я, возможно, недопонимаю. position:absolute; — это чем плохо?

NaFigator Sep 21 2010 at 15:12

Визуально — положением блока. Можно закрыть какие-то элементы на странице и т.п.

Но это ж всё меркнет перед, собственно, XSS.

PeterQ Sep 21 2010 at 15:20

А, нормально. Я думал, я пропустил какую-то недокументированную особенность :)
спасибо!

kegf Sep 21 2010 at 14:32

try http ://twitter.com/name#@«onmouseover=»jAvascript:alert('bla-bla');"/

NaFigator Sep 21 2010 at 14:36

Не пашет, кавычки ёлочкой на обычные заменял.

kegf Sep 21 2010 at 14:48

habrahabr.ru/blogs/infosecurity/104665/ и twitter.com/mr_the/status/25105420721

Dlussky Sep 21 2010 at 14:52

twitter.com/lesch

lesch Sep 21 2010 at 15:15

тогда уж сразу так, чего уж

nblxa Sep 21 2010 at 14:40

Это не Rainbow Twitter, это уязвимость XSS. Ссылка на пример эксплоита. Откройте страницу твита, НЕ НАВОДИТЕ мышь на текст и нажмите Ctrl+A.

NaFigator Sep 21 2010 at 14:42

Дополнил пост. Круто, блин.

Setti Sep 21 2010 at 14:51

Харвестинг куков стартовал. Аминь

jiexaspb Sep 21 2010 at 14:51

уже пофиксили

pROCKrammer Sep 21 2010 at 14:56

нет! =)

jiexaspb Sep 21 2010 at 14:58

новый уже через web добавляется пофикшеным
а старые — да, еще остались

m1kola Sep 21 2010 at 15:13

Нет. Только, что попробовал — работает.

Ganesh Sep 21 2010 at 15:21

только что создал

WuWu Sep 21 2010 at 14:55

главное всем надо ретвитнуть радужный твит, вся лента цветная…

WoZ Sep 21 2010 at 16:39

прям гей-парад

char Sep 21 2010 at 15:00

Атака алиенов-содомитов!

PeterQ Sep 21 2010 at 15:08

Ну вот, уже пошли в ленте вариации на тему soft-xss.
onmouseover=«alert» пользуют активно.

EvilX Sep 21 2010 at 15:09

Гей-пропаганда в твиттере?

NaFigator Sep 21 2010 at 15:10

А вот это уже сильно зависит от восприятия!

NaFigator Sep 21 2010 at 15:14

Веселье-то продолжается:

jtraub Sep 21 2010 at 15:33

CSS3 я первым делом и применил. Но rotate — это скучно :-) Пока самое интересное применение — это радужные твиты

s1nn3r Sep 21 2010 at 15:36

Говорят, на новом интерфейсе не работает.

biophreak Sep 21 2010 at 15:40

twitter.com/biophreak у меня теперь настоящий коммунистический твиттер (:

WuWu Sep 21 2010 at 15:52

а теперь попробуй верни в исходный вид)

biophreak Sep 21 2010 at 15:54

2 выхода: либо удалить твит, либо нафлудить на 1 страницу еще… или не?

mmib Sep 21 2010 at 16:21

у меня патриотический twitter.com/mmib

mmib Sep 21 2010 at 17:30

twitter пофиксили

biophreak Sep 21 2010 at 16:17

А никто не пробовал еще размещать js на внешних ресурсах и подгружать их?

mix2000 Sep 21 2010 at 16:35

Кто-то запустил червя: twitter.com/michaelmix (заходите на свой страх и риск :) )

UFO just landed and posted this here

lol2Fast4U Sep 21 2010 at 16:51

is.gd/flb7w — вот как надо XSS юзать!

WuWu Sep 21 2010 at 16:51

у кого в ленте есть @ekozlov у того автоматом ретвитеться его твит «Давайте жить дружно», подобное сделал @Unlevin… Побанить бы их всех… Твиттер пишет 100+ ретвитов

kirushik Sep 21 2010 at 17:03

Починили только что, прямо на глазах у изумлённой публики.

vdmytry Sep 21 2010 at 17:26

как захожу в твит — постоянно идет ретвит какого-то сообщения. раньше было проще — юзал вебинтерфейс. Сейчас, видимо, придется переходить на клиентов.