Pull to refresh

Активная XSS на Twitter

Reading time 1 min
Views 1.5K
Скриншот (спасибо lc0d3r):

image
Пример: twitter.com/mr_the/status/25105420721 (там только alert)

Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен.

Достаточно отпостить твитт вида:
http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha! XSS!');"/
и будет много-много радости.

Собственно причина — плохой парсер ссылок, без должной фильтрации.

В целях безопасности, рекомендую временно отключить выполнение JavaScript на twitter.com.

UPD: В NewTwitter xss не работает.
UPD2: На 15:52 (по Киеву) закрыли возможность отправлять подобные твитты. Старые всё ещё работают.
UPD3: 16:46 по Киеву, уязвимость официально закрыли — status.twitter.com/post/1161435117/xss-attack-identified-and-patched
Tags:
Hubs:
+107
Comments 105
Comments Comments 105

Articles