Как стать автором
Обновить

Активная XSS на Twitter

Информационная безопасность *
Скриншот (спасибо lc0d3r):

image
Пример: twitter.com/mr_the/status/25105420721 (там только alert)

Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен.

Достаточно отпостить твитт вида:
http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha! XSS!');"/
и будет много-много радости.

Собственно причина — плохой парсер ссылок, без должной фильтрации.

В целях безопасности, рекомендую временно отключить выполнение JavaScript на twitter.com.

UPD: В NewTwitter xss не работает.
UPD2: На 15:52 (по Киеву) закрыли возможность отправлять подобные твитты. Старые всё ещё работают.
UPD3: 16:46 по Киеву, уязвимость официально закрыли — status.twitter.com/post/1161435117/xss-attack-identified-and-patched
Теги:
Хабы:
Всего голосов 147: ↑127 и ↓20 +107
Просмотры 1.2K
Комментарии Комментарии 105