Скриншот (спасибо lc0d3r):
Пример: twitter.com/mr_the/status/25105420721 (там только alert)
Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен.
Достаточно отпостить твитт вида:
Собственно причина — плохой парсер ссылок, без должной фильтрации.
В целях безопасности, рекомендую временно отключить выполнение JavaScript на twitter.com.
UPD: В NewTwitter xss не работает.
UPD2: На 15:52 (по Киеву) закрыли возможность отправлять подобные твитты. Старые всё ещё работают.
UPD3: 16:46 по Киеву, уязвимость официально закрыли — status.twitter.com/post/1161435117/xss-attack-identified-and-patched
Пример: twitter.com/mr_the/status/25105420721 (там только alert)
Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен.
Достаточно отпостить твитт вида:
http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha! XSS!');"/
и будет много-много радости.Собственно причина — плохой парсер ссылок, без должной фильтрации.
В целях безопасности, рекомендую временно отключить выполнение JavaScript на twitter.com.
UPD: В NewTwitter xss не работает.
UPD2: На 15:52 (по Киеву) закрыли возможность отправлять подобные твитты. Старые всё ещё работают.
UPD3: 16:46 по Киеву, уязвимость официально закрыли — status.twitter.com/post/1161435117/xss-attack-identified-and-patched