NaFigator21 сен 2010 в 10:28

XSS: Rainbow Twitter Released!

1 мин

744

Информационная безопасность *

+47

Комментарии 39

zhomart 21 сен 2010 в 10:30

Второй глюк твиттера (13.43 Kb, 540x376)

Ещё пруфы. Весело.

NaFigator 21 сен 2010 в 10:32

И ладно бы радуга, а там уже баловство с position:absolute; пошло — выглядит уже не так радужно.

PeterQ 21 сен 2010 в 11:09

Я, возможно, недопонимаю. position:absolute; — это чем плохо?

NaFigator 21 сен 2010 в 11:12

Визуально — положением блока. Можно закрыть какие-то элементы на странице и т.п.

Но это ж всё меркнет перед, собственно, XSS.

PeterQ 21 сен 2010 в 11:20

А, нормально. Я думал, я пропустил какую-то недокументированную особенность :)
спасибо!

kegf 21 сен 2010 в 10:32

try http ://twitter.com/name#@«onmouseover=»jAvascript:alert('bla-bla');"/

NaFigator 21 сен 2010 в 10:36

Не пашет, кавычки ёлочкой на обычные заменял.

kegf 21 сен 2010 в 10:48

habrahabr.ru/blogs/infosecurity/104665/ и twitter.com/mr_the/status/25105420721

Dlussky 21 сен 2010 в 10:52

twitter.com/lesch

lesch 21 сен 2010 в 11:15

тогда уж сразу так, чего уж

nblxa 21 сен 2010 в 10:40

Это не Rainbow Twitter, это уязвимость XSS. Ссылка на пример эксплоита. Откройте страницу твита, НЕ НАВОДИТЕ мышь на текст и нажмите Ctrl+A.

NaFigator 21 сен 2010 в 10:42

Дополнил пост. Круто, блин.

Setti 21 сен 2010 в 10:51

Харвестинг куков стартовал. Аминь

jiexaspb 21 сен 2010 в 10:51

уже пофиксили

pROCKrammer 21 сен 2010 в 10:56

нет! =)

jiexaspb 21 сен 2010 в 10:58

новый уже через web добавляется пофикшеным
а старые — да, еще остались

m1kola 21 сен 2010 в 11:13

Нет. Только, что попробовал — работает.

Ganesh 21 сен 2010 в 11:21

только что создал

WuWu 21 сен 2010 в 10:55

главное всем надо ретвитнуть радужный твит, вся лента цветная…

WoZ 21 сен 2010 в 12:39

прям гей-парад

char 21 сен 2010 в 11:00

Атака алиенов-содомитов!

PeterQ 21 сен 2010 в 11:08

Ну вот, уже пошли в ленте вариации на тему soft-xss.
onmouseover=«alert» пользуют активно.

EvilX 21 сен 2010 в 11:09

Гей-пропаганда в твиттере?

NaFigator 21 сен 2010 в 11:10

А вот это уже сильно зависит от восприятия!

NaFigator 21 сен 2010 в 11:14

Веселье-то продолжается:

jtraub 21 сен 2010 в 11:33

CSS3 я первым делом и применил. Но rotate — это скучно :-) Пока самое интересное применение — это радужные твиты

s1nn3r 21 сен 2010 в 11:36

Говорят, на новом интерфейсе не работает.

biophreak 21 сен 2010 в 11:40

twitter.com/biophreak у меня теперь настоящий коммунистический твиттер (:

WuWu 21 сен 2010 в 11:52

а теперь попробуй верни в исходный вид)

biophreak 21 сен 2010 в 11:54

2 выхода: либо удалить твит, либо нафлудить на 1 страницу еще… или не?

mmib 21 сен 2010 в 12:21

у меня патриотический twitter.com/mmib

mmib 21 сен 2010 в 13:30

twitter пофиксили

biophreak 21 сен 2010 в 12:17

А никто не пробовал еще размещать js на внешних ресурсах и подгружать их?

mix2000 21 сен 2010 в 12:35

Кто-то запустил червя: twitter.com/michaelmix (заходите на свой страх и риск :) )

НЛО прилетело и опубликовало эту надпись здесь

lol2Fast4U 21 сен 2010 в 12:51

is.gd/flb7w — вот как надо XSS юзать!

WuWu 21 сен 2010 в 12:51

у кого в ленте есть @ekozlov у того автоматом ретвитеться его твит «Давайте жить дружно», подобное сделал @Unlevin… Побанить бы их всех… Твиттер пишет 100+ ретвитов

kirushik 21 сен 2010 в 13:03

Починили только что, прямо на глазах у изумлённой публики.

vdmytry 21 сен 2010 в 13:26

как захожу в твит — постоянно идет ретвит какого-то сообщения. раньше было проще — юзал вебинтерфейс. Сейчас, видимо, придется переходить на клиентов.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий