вторник, 21 сентября 2010 г.

Twitpocalypsis NOW!

Много радости и веселья сегодня доставил Twitter пользователям веб-интерфейса. Дело в том, что свеженайденная XSS-уязвимость породила кучу различных веселых твитов содержащих JavaScript, который выполнялся при их просмотре :)
Например, вот такое вот безобидное на первый взгляд сообщение, может привести к интересным последствиям.




А точнее, как понятно по приведенному в сообщение коду, оно вам продемонстрирует вашу авторизационную куку.


В данном случае это достаточно безобидный код, полезная нагрузка которого скорее создана для демонстрации уязвимости, а не для нанесения ущерба кому бы то ни было. Но были и такие, которые например осуществляли произвольные ретвиты и препятствовали удалению самих себя.

 

Проблема была вызвана недостаточной фильтрацией сообщений содержащих URL, а точнее вызовов onmouseover, в которых и содержался различного рода JavaScript код, который несанкционированно выполнялся. На данный момент уязвимость закрыта, но осадочек, как говорится, остался.